毕业设计企业网络安全漏洞分析及其解决

题 目：学 院：系 别：专 业：班 级：准考证号：学生姓名：严指导教师：谭自学考试 毕业论文

企业网络安全漏洞分析及其解决方案 西南科技大学 计算机工程系 信息管理与服务 秋 070109325096 玲 亮

1

0 8

摘要

为了防范网络安全事故的发生,互联网的每个计算机用户、特别是企业网络用户，必须采取足够的安全防护措施，甚至可以说在利益均衡的情况下不惜一切代价。事实上，许多互联网用户、网管及企业老总都知道网络安全的重要性，却不知道网络安全隐患来自何方，更不用说采取什么措施来防范了。因此，对于互联网用户来说，掌握必备的网络安全防范措施是很有必要的，尤其是网络管理人员，更需要掌握网络安全技术，架设和维护网络系统安全。

本论文前三章介绍了网络安全的概述，网络安全技术和网络安全漏洞分析；介绍了我国网络安全的现状和网络安全面临的挑战，以及漏洞的分类，并介绍了安全技术在企业的解决方案。第四章主要讲了漏洞扫描系统的必要性，只有发现漏洞才能更好的维持企业网络安全秩序。第五章主要是实际应用的解决方案，介绍了无线网络安全实战，用实际的解决方案来说明主题。

关键词： 网络安全 漏洞 解决方案

2

目 录

前言 ................................................................................................................................................................. 1 第一章 网络安全概述 ................................................................................................................................. 2

§1.1我国网络安全的现状与挑战 ...................................................................................................... 2

§1.1.1我国网络安全问题日益突出 .............................................................................................. 2 §1.1.2制约提高我国网络安全防范能力的因素 .......................................................................... 2 §1.1.3对解决我国网络安全问题的几点建议 .............................................................................. 4 §1.1.4网络安全面临的挑战 .............................................................................................................. 4 §1.2飞鱼星安全联动系统 .................................................................................................................. 5 §1.3网络安全分析 .............................................................................................................................. 6

§1.3.1 网络安全的定义 ................................................................................................................. 7 §1.3.2 物理安全分析 ..................................................................................................................... 7 §1.3.3网络结构的安全分析 .......................................................................................................... 7 §1.3.4系统的安全分析 .................................................................................................................. 7 §1.3.5应用系统的安全分析 .......................................................................................................... 8 §1.4网络安全体系结构 ...................................................................................................................... 8

§1.4.1网络安全体系结构框架 ...................................................................................................... 8 §1.4.2网络安全服务层次模型 .................................................................................................... 11

第二章 网络安全技术 ................................................................................................................................. 13

§2.1网络安全技术分析 .................................................................................................................... 13 §2.2数据加密技术 ............................................................................................................................ 13 §2.3防火墙枝术 ................................................................................................................................ 13 §2.4认证技术 .................................................................................................................................... 14 §2.5杀毒软件技术 ............................................................................................................................ 14 §2.6入侵检测技术 ............................................................................................................................ 14 §2.7安全扫描技术 ............................................................................................................................ 15 §2.8访问控制技术 ............................................................................................................................ 15 §2.9虚拟专用网技术 ........................................................................................................................ 16 §2.10 VPN技术解决方案——华为3Com 动态VPN解决方案 ....................................................... 16 第三章 网络安全漏洞分析 ....................................................................................................................... 21

§3.1漏洞的概念 ................................................................................................................................ 21 §3.2漏洞的分类 ................................................................................................................................ 21 §3.3漏洞的特征 ................................................................................................................................ 23 §3.4漏洞严重性的等级 .................................................................................................................... 24 第四章 漏洞扫描系统概述 ......................................................................................................................... 25

§4.1漏洞扫描系统的简介 ................................................................................................................ 25

§4.1.1漏洞扫描系统定义 ............................................................................................................ 25 §4.1.2漏洞扫描系统的必要性分析 ............................................................................................ 25 §4.1.3漏洞扫描系统构成 ............................................................................................................ 26 §4.2网络漏洞扫描器 ........................................................................................................................ 27

§4.2.1漏洞扫描器的扫描工作原理 ............................................................................................ 27 §4.2.2漏洞扫描技术 .................................................................................................................... 29

3

第五章 无线网络安全实战 ....................................................................................................................... 32

§5.1无线局域网安全现状与安全威胁 ............................................................................................ 32

§ 5.1.1无线局域网的概述 ........................................................................................................... 32 §5.1.2无线局域网的安全现状与安全威胁 ................................................................................ 33 §5.2无线局域网标准与安全技术 .................................................................................................... 35

§5.2.1无线局域网标准 ................................................................................................................ 35 §5.2.2无线局域网安全技术 ........................................................................................................ 37 §5.2.3WLAN的访问控制技术 .................................................................................................... 38 §5.3无线网络设备安全 .................................................................................................................... 41

§5.3.1无线网络设备 .................................................................................................................... 41 §5.3.2无线网络设备的安全设置 ................................................................................................ 42 §5.5 3COM公司无线网络安全解决方案 ................................................................................... 50

致 谢 ........................................................................................................................................................... 53 参考文献 ....................................................................................................................................................... 54

4

前言

随着信息化进程的深入和互联网的迅速发展，人们的工作、学习和生活方式正在发生巨大变化，效率大为提高，信息资源得到最大程度的共享。但必须看到，紧随信息化发展而来的网络安全问题日渐凸出，如果不很好地解决这个问题，必将阻碍信息化发展的进程。

可以从不同角度对网络安全作出不同的解释。一般意义上，网络安全是指信息安全和控制安全两部分。国际标准化组织把信息安全定义为“信息的完整性、可用性、保密性和可靠性”；控制安全则指身份认证、不可否认性、授权和访问控制。 互联网与生俱有的开放性、交互性和分散性特征使人类所憧憬的信息共享、开放、灵活和快速等需求得到满足。网络环境为信息共享、信息交流、信息服务创造了理想空间，网络技术的迅速发展和广泛应用，为人类社会的进步提供了巨大推动力。然而，正是由于互联网的上述特性，产生了许多安全问题：

（1）信息泄漏、信息污染、信息不易受控。例如，资源未授权侵用、未授权信息流出现、系统拒绝信息流和系统否认等，这些都是信息安全的技术难点。

(2）在网络环境中，一些组织或个人出于某种特殊目的，进行信息泄密、信息破坏、信息侵权和意识形态的信息渗透，甚至通过网络进行政治颠覆等活动，使国家利益、社会公共利益和各类主体的合法权益受到威胁。

(3）网络运用的趋势是全社会广泛参与，随之而来的是控制权分散的管理问题。由于人们利益、目标、价值的分歧，使信息资源的保护和管理出现脱节和真空，从而使信息安全问题变得广泛而复杂。

(4）随着社会重要基础设施的高度信息化，社会的“命脉”和核心控制系统有可能面临恶意攻击而导致损坏和瘫痪，包括国防通信设施、动力控制网、金融系统和政府网站等。

在各领域的计算机犯罪和网络侵权方面，无论是数量、手段，还是性质、规模，已经到了令人咋舌的地步。据有关方面统计，目前美国每年由于网络安全问题而遭受的经济损失超过170亿美元，德国、英国也均在数十亿美元以上，法国为100亿法郎，日本、新加坡问题也很严重。在国际刑法界列举的现代社会新型犯罪排行榜上，计算机犯罪已名列榜首。

1

第一章 网络安全概述

§1.1我国网络安全的现状与挑战

网络安全问题已成为信息时代人类共同面临的挑战，国内的网络安全问题也日益突出。具体表现为：计算机系统受病毒感染和破坏的情况相当严重；电脑黑客活动已形成重要威胁；信息基础设施面临网络安全的挑战；信息系统在预测、反应、防范和恢复能力方面存在许多薄弱环节；网络政治颠覆活动频繁。

§1.1.1我国网络安全问题日益突出

目前，我国网络安全问题日益突出的主要标志是：

一、计算机系统遭受病毒感染和破坏的情况相当严重。据国家计算机病毒应急处理中心副主任张健介绍，从国家计算机病毒应急处理中心日常监测结果看来，计算机病毒呈现出异常活跃的态势。据2001年调查，我国约73%的计算机用户曾感染病毒，2003年上半年升至83%。其中，感染3次以上的用户高达59%，而且病毒的破坏性较大，被病毒破坏全部数据的占14%，破坏部分数据的占57%。

二、电脑黑客活动已形成重要威胁。网络信息系统具有致命的脆弱性、易受攻击性和开放性，从国内情况来看，目前我国95%与互联网相联的网络管理中心都遭受过境内外黑客的攻击或侵入，其中银行、金融和证券机构是黑客攻击的重点。

三、信息基础设施面临网络安全的挑战。面对信息安全的严峻形势，我国的网络安全系统在预测、反应、防范和恢复能力方面存在许多薄弱环节。据英国《简氏战略报告》和其它网络组织对各国信息防护能力的评估，我国被列入防护能力最低的国家之一，不仅大大低于美国、俄罗斯和以色列等信息安全强国，而且排在印度、韩国之后。

四、网络政治颠覆活动频繁。近年来，国内外反动势力利用互联网组党结社，进行针对我国党和政府的非法组织和串联活动，猖獗频繁，屡禁不止。尤其是一些非法组织有计划地通过网络渠道，宣传异教邪说，妄图扰乱人心，扰乱社会秩序。例如，据媒体报道，“法轮功”非法组织就是在美国设网站，利用无国界的信息空间进行反政府活动。

§1.1.2制约提高我国网络安全防范能力的因素

当前，制约我国提高网络安全防御能力的主要因素有以下几方面。

一、缺乏自主的计算机网络和软件核心技术

我国信息化建设过程中缺乏自主技术支撑。计算机安全存在三大黑洞：CPU芯片、操作系统和数据库、网关软件大多依赖进口。信息安全专家、中国科学院高能物理研究所研究员许榕生曾一针见血地点出我国信息系统的要害：“网络发展很快，但安全状况如何？现在有很多人投很多钱去建网络，实际上并不清楚它只有一半根基，建的是没有

2

防范的网。有的网络顾问公司建了很多网，市场布好，但建的是裸网，没有保护，就像房产公司盖了很多楼，门窗都不加锁就交付给业主去住。”我国计算机网络所使用的网管设备和软件基本上是舶来品，这些因素使我国计算机网络的安全性能大大降低，被认为是易窥视和易打击的“玻璃网”。由于缺乏自主技术，我国的网络处于被窃听、干扰、监视和欺诈等多种信息安全威胁中，网络安全处于极脆弱的状态。

二、安全意识淡薄是网络安全的瓶颈

目前，在网络安全问题上还存在不少认知盲区和制约因素。网络是新生事物，许多人一接触就忙着用于学习、工作和娱乐等，对网络信息的安全性无暇顾及，安全意识相当淡薄，对网络信息不安全的事实认识不足。与此同时，网络经营者和机构用户注重的是网络效应，对安全领域的投入和管理远远不能满足安全防范的要求。总体上看，网络信息安全处于被动的封堵漏洞状态，从上到下普遍存在侥幸心理，没有形成主动防范、积极应对的全民意识，更无法从根本上提高网络监测、防护、响应、恢复和抗击能力。

三、运行管理机制的缺陷和不足制约了安全防范的力度

运行管理是过程管理，是实现全网安全和动态安全的关键。有关信息安全的政策、计划和管理手段等最终都会在运行管理机制上体现出来。就目前的运行管理机制来看，有以下几方面的缺陷和不足。

（一）网络安全管理方面人才匮乏：由于互联网通信成本极低，分布式客户服务器和不同种类配置不断出新和发展。按理，由于技术应用的扩展，技术的管理也应同步扩展，但从事系统管理的人员却往往并不具备安全管理所需的技能、资源和利益导向。信息安全技术管理方面的人才无论是数量还是水平，都无法适应信息安全形势的需要。

（二）安全措施不到位：互联网越来越具有综合性和动态性特点，这同时也是互联网不安全因素的原因所在。然而，网络用户对此缺乏认识，未进入安全就绪状态就急于操作，结果导致敏感数据暴露，使系统遭受风险。配置不当或过时的操作系统、邮件程序和内部网络都存在入侵者可利用的缺陷，如果缺乏周密有效的安全措施，就无法发现和及时查堵安全漏洞。当厂商发布补丁或升级软件来解决安全问题时，许多用户的系统不进行同步升级，原因是管理者未充分意识到网络不安全的风险所在，未引起重视。

（三）缺乏综合性的解决方案：面对复杂的不断变化的互联网世界，大多数用户缺乏综合性的安全管理解决方案，稍有安全意识的用户越来越依赖“银弹”方案（如防火墙和加密技术），但这些用户也就此产生了虚假的安全感，渐渐丧失警惕。实际上，一次性使用一种方案并不能保证系统一劳永逸和高枕无忧，网络安全问题远远不是防毒软件和防火墙能够解决的，也不是大量标准安全产品简单碓砌就能解决的。近年来，国外的一些互联网安全产品厂商及时应变，由防病毒软件供应商转变为企业安全解决方案的提供者，他们相继在我国推出多种全面的企业安全解决方案，包括风险评估和漏洞检测、入侵检测、防火墙和虚拟专用网、防病毒和内容过滤解决方案，以及企业管理解决方案等一整套综合性安全管理解决方案。

（四） 缺乏制度化的防范机制

不少单位没有从管理制度上建立相应的安全防范机制，在整个运行过程中，缺乏行之有效的安全检查和应对保护制度。不完善的制度滋长了网络管理者和内部人士自身的违法行为。许多网络犯罪行为（尤其是非法操作）都是因为内部联网电脑和系统管理制度疏于管理而得逞的。同时，政策法规难以适应网络发展的需要，信息立法还存在相当多的空白。个人隐私保护法、数据库保护法、数字媒体法、数字签名认证法、计算机犯罪法以及计算机安全监管法等信息空间正常运作所需的配套法规尚不健全。由于网络作案手段新、时间短、不留痕迹等特点，给侦破和审理网上犯罪案件带来极大困难。

3

§1.1.3对解决我国网络安全问题的几点建议

网络环境的复杂性、多变性，以及信息系统的脆弱性，决定了网络安全威胁的客观存在。我国日益开放并融入世界，但加强安全监管和建立保护屏障不可或缺。国家科技部部长徐冠华曾在某市信息安全工作会议上说：“信息安全是涉及我国经济发展、社会发展和国家安全的重大问题。近年来，随着国际政治形势的发展，以及经济全球化过程的加快，人们越来越清楚，信息时代所引发的信息安全问题不仅涉及国家的经济安全、金融安全，同时也涉及国家的国防安全、政治安全和文化安全。因此，可以说，在信息化社会里，没有信息安全的保障，国家就没有安全的屏障。信息安全的重要性怎么强调也不过分。”目前我国政府、相关部门和有识之士都把网络监管提到新的高度，上海市负责信息安全工作的部门提出采用非对称战略构建上海信息安全防御体系，其核心是在技术处于弱势的情况下，用强化管理体系来提高网络安全整体水平。衷心希望在不久的将来，我国信息安全工作能跟随信息化发展，上一个新台阶。

§1.1.4网络安全面临的挑战

随着网络经济的迅猛发展，企业网络安全正遭受严峻的挑战：病毒泛滥、黑客入侵、木马蠕虫、拒绝服务攻击、内部的误操作和资源滥用，以及各种灾难事故的发生，这些都时刻威胁着网络的业务运转和信息安全。2003年的蠕虫病毒大爆发恐怕令很多人至今都记忆忧新，在这场灾难中，全球企业遭受的损失超过了550亿美元。

虽然企业网络的安全已成为人们关注的焦点，基于防火墙、网关等设备的防毒防攻击技术也层出不穷；但病毒和黑客的进步速度似乎更快，并逐渐呈现出病毒智能化、变种、繁殖化，黑客工具“傻瓜”化等趋势，这使得传统的企业网络安全体系防不胜防，企业网络随时面临瘫痪甚至被永久损坏的危险。

在传统的网络架构中，由防火墙、网关等单一安全产品打造的防线，面对不断更新的病毒和网络攻击，显得十分脆弱与被动。

4

图1.1传统网络结构面临的挑战和困难图

如图1.1所示具有如下特点：      

网关常常被欺骗信息“迷惑” 各类应用抢占带宽资源 恶意信息和网络攻击肆虐 关键业务无法得到保障 内网充斥着海量的垃圾信息

设备性能和网络资源被恶意访问消耗殆尽„„

整个网络就像一个杂乱无章的车站，三教九流充斥其中，无秩序无管理，造成整个网络的稳定性大打折扣。

§1.2飞鱼星安全联动系统

用户期望得到一个彻底的、一劳永逸的解决方案，来加强网络和信息系统的安全防

5

护。因此，飞鱼星科技提出基于“防火墙路由器+安全交换机”的安全联动系统解决(ASN)。

图1.2飞鱼安全联动系统图

如图1.2所示，飞鱼星安全联动系统(ASN)是一套即时、互动和统一的网络安全新架构，能有效解决内网的安全问题，重建和优化内网秩序。它通过路由器和安全交换机的联动协作，共同构成一套完整的企业网络安全体系。安全策略和QoS策略被部署到交换机的每个接入端口，极大增强网络的主动防御能力，为用户创建一个内外兼“固”的安全环境。在飞鱼星安全联动系统(ASN)中，交换机不仅是数据交换的核心，还具备专业安全产品的性能。通过安全交换机串联服务器、安全网关、终端电脑，组成贯穿整个网络的安全防护体系整个网络类似井然有序的机场，安检严格，层层把关；调度有序，进出港快速稳定；内网关键业务和重要应用优先级得到保障，犹如享有机场的VIP通道。

§1.3网络安全分析

随着计算机技术的迅速发展，在计算机上处理的业务也由基于单机的数学运算、文件处理，基于简单连接的内部网络的内部业务处理、办公自动化等发展到基于复杂的内部网（Intranet）、企业外部网（Extranet）、全球互连网（Internet）的企业级计算机处理系统和世界范围内的信息共享和业务处理。在系统处理能力提高的同时，系统的连接能力也在不断的提高。但在连接能力信息、流通能力提高的同时，基于网络连接的安全问题也日益突出，整体的网络安全主要表现在以下几个方面：网络的物理安全、网络拓扑结构安全、网络系统安全、应用系统安全和网络管理的安全等。

6

因此计算机安全问题，应该像每家每户的防火防盗问题一样，做到防范于未然。甚至不会想到你自己也会成为目标的时候，威胁就已经出现了，一旦发生，常常措手不及，造成极大的损失。

§1.3.1 网络安全的定义

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。

§1.3.2 物理安全分析

网络的物理安全是整个网络系统安全的前提。在企业网工程建设中，由于网络系统属于弱电工程，耐压值很低。因此，在网络工程的设计和施工中，必须优先考虑保护人和网络设备不受电、火灾和雷击的侵害；考虑布线系统与照明电线、动力电线、通信线路、暖气管道及冷热空气管道之间的距离；考虑布线系统和绝缘线、裸体线以及接地与焊接的安全；必须建设防雷系统，防雷系统不仅考虑建筑物防雷，还必须考虑计算机及其他弱电耐压设备的防雷。总体来说物理安全的风险主要有，地震、水灾、火灾等环境事故；电源故障；人为操作失误或错误；设备被盗、被毁；电磁干扰；线路截获；高可用性的硬件；双机多冗余的设计；机房环境及报警系统、安全意识等，因此要尽量避免网络的物理安全风险。

§1.3.3网络结构的安全分析

网络拓扑结构设计也直接影响到网络系统的安全性。假如在外部和内部网络进行通信时，内部网络的机器安全就会受到威胁，同时也影响在同一网络上的许多其他系统。透过网络传播，还会影响到连上Internet/Intrant的其他的网络；影响所及，还可能涉及法律、金融等安全敏感领域。因此，本文作者在设计时有必要将公开服务器（WEB、DNS、EMAIL等）和外网及内部其它业务网络进行必要的隔离，避免网络结构信息外泄；同时还要对外网的服务请求加以过滤，只允许正常通信的数据包到达相应主机，其它的请求服务在到达主机之前就应该遭到拒绝。

§1.3.4系统的安全分析

所谓系统的安全是指整个网络操作系统和网络硬件平台是否可靠且值得信任。目前恐怕没有绝对安全的操作系统可以选择，无论是Microsfot 的Windows NT或者其它任何商用UNIX操作系统，其开发厂商必然有其Back-Door。因此，本文作者可以得出如下结论：没有完全安全的操作系统。不同的用户应从不同的方面对其网络作详尽的分析，

7

选择安全性尽可能高的操作系统。因此不但要选用尽可能可靠的操作系统和硬件平台，并对操作系统进行安全配置。而且，必须加强登录过程的认证（特别是在到达服务器主机之前的认证），确保用户的合法性；其次应该严格限制登录者的操作权限，将其完成的操作限制在最小的范围内。

§1.3.5应用系统的安全分析

应用的安全涉及方面很多，应用系统是不断发展且应用类型是不断增加的。在应用系统的安全性上，主要考虑尽可能建立安全的系统平台，而且通过专业的安全工具不断发现漏洞，修补漏洞，提高系统的安全性。应用的安全性涉及到信息、数据的安全性。

§1.4网络安全体系结构

网络安全结构应当在对网络全面了解后实施.只有在掌握网络拓扑结构,风险分析结果和网络安全目标后,才能按照网络安全策略的要求,建立和实现网络系统的安全.网络安全体系结构一般指能实现如下几个功能的实体:

一、提供未定义环境概念上的安全定义的结构 二、在环境内可以独立设计安全组件

三、说明安全独立组件应该如何集成在整体环境中 四、保证完成后的环境符合最初建立的虚拟实体

§1.4.1网络安全体系结构框架

一个的网络安全体系结构框架，反映了信息系统的安全需求和体系结构的共性，如图1.3所示。

如果用公式表示：体系结构=部件+关系+约束，那么在网络体系结构中的部件为：安全服务、安全机制和功能层；关系为：安全服务与安全机制。安全服务与功能层；约

8

束为 ：安全政策。7 应用层 6表示层 5会话层 4 传输层 3 网络层 2 数据链路层 1 物理层 功能层 数据完整性 认证服务 数据保密性 访问控制 抵抗赖性 安全机制 安全服务 加密机制身份鉴别访问控制数字签名数流路交数据量由换据保填控鉴完密充制别整性 公证机制图1.3 网络安全体系结构框架

一、五大网络安全服务

安全服务是指采用一种或多种安全机制以抵御安全攻击、提高机构的数据处理系统安全和信息传输安全的服务。在对威胁进行分析的基础上，规定了五大标准网络安全服务。

(一)鉴别服务

身份鉴别椒授权控制的基础。必须做到准确无二义地将对方辩空城计出来，同时还应该提供双向的认证，即互相证明自己的身份。

网络环境下的身份认证更加复杂，主要是要考虑到验证身份的双方一般都是通过网络而非直接交互的。大量的黑客随时随地都可能尝试向网络渗透，截获合法用户口令并冒名顶替，以合法身份入网。所以，目前一般采用的是基于对称密钥加密或公开密钥加密的方法，采用高强度的密码技术来进行身份认证。比较著名的有Kerberos,PGP等方法。

（二）访问控制服务

用于防止未授权用户非法使用系统资源，包括用户身份认证、用户的权限确认。这种保护服务可提供给用户组。对访问控制的要求主要有：

一致性，也就是对信息资源的控制没有二义性，各种定义之间不冲突。 统一性，对所有信息资源进行集中管理，安全政策统一贯彻。 要求有审计功能，对所有授权记录可以核查。 （三）数据完整性服务

数据完整性是指通过网上传输的数据应阻止非法实体对交换数据的修改、插入、删除、替换或重发，以保证合法用户接收和使用该数据的真实性。

（四）数据保密服务

为了防止网络中各个系统之间交换的数据被截获或非法存取而造成泄密，提供密码加密保护。

（五）抗抵赖性服务

9

防止发送方在发送数据后否认自己发送过此数据，接收方在收到数据后否认自己收到过此数据或伪造接收数据。由两种服务组成：一是不提否认发阖家；二是不得否认接收抗抵赖性对金融电子化系统很重要。电子签名的主要目的是防止抵赖，防止否认，给仲裁提供证据。

二、八大网络安全机制

安全机制是指设计用于检测、预防安全攻击或者恢复系统的机制。一个安全策略和安全服务可能单个使用，也可以组合起来使用。在上述提到的安全服务中可以借助以下八大安全机制。

（一）加密机制

加密是提供信息保密的核心方法。加密技术也应用于程序的运行，通过对程序的运行实行加密保护，可以防止软件 被非法复制，防止软件的安全机制被破坏。加密能单独作为一种机制运行，也能成为后面其他机制的一部分，起到补充的作用。

（二）访问控制机制

访问控制是通过对访问者的有关信息进行检查来限制或禁止访问者使用资源的技术。访问控制还可以直接支持数据机密性、数据完整性、可用性以及全法使用的安全目标（访问控制矩阵）。访问控制分为高层（Application）访问控制和低层（Nfetwork Protocal）访问控制。高层：对用户口令、用户权限、资源属性的检查和对比来实现的（权限的顺序从高到低是资源属性、用户权限）；低层：对通信协议中的某些特征信息的识别、判断，来禁止或允许用户访问的措施。在路由器上设置过滤，就属于低层访问控制。

（三）数据完整性机制

数据完整性包括数据单元的完整性和数据字段的完整性两个方面。数据单元的完整性是指组成一个单元的一段数据不被破坏和增删篡改，通常是把包括有数字签名的文件用hash函数产生一个标记，接收者在收到文件后也用相同的hash函数处理一遍，观察产生的标记是否相同就可知道数据是否完整。数据字段的完整性是指的数据分割为按字段号编排的许多单元，在接收时还能按原来的字段把数据串联起来，而不会发生数据单元的丢失、重复、乱序、假冒等情况。

（四）数字签名机制

数字签名机制主要解决以下安全问题： 1.否认：事后发送者不承认文件是他发送的

2.伪造：有人自己伪造了一份文件，却声称是某人发送的。 3.冒充：冒充别人的身份在网上发送文件。 4.篡改：接收者私自篡改文件的内容。

数字签名机制具有可证实性、不可否认性。不可伪造和不可重用性。其实质在于对特定数据单元的签名，并且只有从形成该签名的那个机密信息中产生出来，机密的持有者唯一。因此，当该签名得到验证之后，能够在任何时候向第三方（即仲裁）提供证明签名人的证据。

（五）交换鉴别机制

交换鉴别机制是通过互相交换信息的方式来确定彼此的身份人。用于交换鉴别的技术有：

口令：由发阖家方给出自己的口令，以证明自己的身份，接收方则根据地口令来判断对方的身份。

10

密码技术：接收方在收到已加密的信息时，通过自己掌握的密钥解密，能够确定信息的发送者是掌握了另一个密钥的那个人。

（六）公证机制

网络上鱼龙混杂，很难说相信谁不相信谁。同时，网络的有些故障和缺陷也可能导致信息的丢失或延误。为了免得事后说不清，可以找一个大家都信任的公证机构，各方交换的信息都通过公证机构来中转。公证机构从中转的信息里提取必要的证据，日后一旦发生纠纷，就可以据此做出仲裁。因此公证机制是在两个或多个实体之间交换数据信息时，用户保护各个实体安全及纠纷的仲裁。

（七）流量填充机制

流量填充机制提供针对流量分析的保护，外部攻击者有时能够根据数据交换的出现、消失、数量或频率而提取出有用信息。数据交换量的突然改变也可能泄露有用信息。例如，当公司开始出售它在股票市场上的份额时，在消息公开以前的准备阶段中，公司可能与银行有大量通信。因此对购买该股票感兴趣的人就可以密切关注公司与银行之间的数据流量，以了解是否可以购买。

（八）路由控制机制

路由控制机制使得可以指定网络发送数据的路径。这样，可以选择那些可信的网络节点，从而确保数据不会暴露在安全攻击之下。路由选择控制机制使得路由能动态地或预定地选取，以便使用物理上安全的子网络、中继站或链路来进行通信，保证敏感数据只在具有适当保护级别的路由上传输。

§1.4.2网络安全服务层次模型

国际标准化组织ISO在开放系统互连表年准中定义了7个层次的网络互连参考模型，它们分别是物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。不同的网络层次之间的功能虽然有一定的交叉，但是基本上是不同的。例如，链路层负责建立点到点通信，网络层负责路由，传输层负责建立端到端的进程通信信道。从安全角度来看，各层能提供一定的安全手段，针对不同层次的安全措施是不同的。

开放系统互连参考模型的层次功能是上层利用下层提供的服务，下层为上层服务。因此每个层次提供不同的安全机制和安全服务，为各系统单元提供不同的安全特性。需要对网络安全服务所属的协议层次进行分析，没有哪个单独的层次能够提供全部的网络安全服务，每个层次都能做出自己的贡献。

在物理层要保证通信线路的可靠，不易被窃听。在链路层可以采用加密技术，保证通信的安全。在互联网和Intranet环境中，地域分布很广，物理层的安全难以保证，链路层的加密技术也不完全适用。

在网络层，可以采用传统的防火墙技术，如在TCP/IP网络中，采用IP过滤功能的路由器，以控制信息在内外网络边界的流动，还可以使用IP加密传输信道技术IP SEC，在两个网络结点间建立透明的安全加密信道。这种技术对应用透明，提供主机的安全服务，适用于在公共通信设施上建立虚拟的专用网。这种方法需要建立标准密钥管理，目前在产品兼容性和性能上尙存在较多问题。

在传输层可以实现进程的安全通信，如现在流行的安全套接字层SSL技术，是在两个通信结点间建立安全的TCP连接。这种技术实现了基于进程的安全服务和加密传输信

11

道，采用公钥体系做身份认证，具有高的安全强度。但这种技术对应用层不透明，需要证书授权中心，它本身不提供访问控制。

针对专门的应用系统，在应用层实施安全机制，对特定的应用是有效的，如基于SMTP电子邮件的安全增强型邮件PEM提供了安全服务的电子邮件，又如用于WEB的安全增强型超文本传输协议S-HTTP提供了文件级的安全服务机制。由于它是针对特定应用的，缺乏通用性，且需修改应用程序。

12

第二章 网络安全技术

§2.1网络安全技术分析

网络安全技术指致力于解决诸如如何有效进行介入控制，以及何如保证数据传输的安全性的技术手段，主要包括物理安全分析技术，网络结构安全分析技术，系统安全分析技术，管理安全分析技术，及其它的安全服务和安全机制策略。

§2.2数据加密技术

密码技术是保障网络安全的最基本、最核心的技术措施。加密技术是将资料加密，以防止信息泄露的技术。加密就是通过一种方式使信息变得混乱，从而使未被授权的人看不懂它。信息在网络传输时被窃取，是个人和公司面临的最大安全风险。为防止信息被窃取，必须对所有传输的信息进行加密。现在有几种类型的加密技术，包括硬件的和软件的。拿体制而言，目前的加密体制可分为：单密钥加密体制和公用密钥体制。

一、单密钥机密体制

单密钥体制是指在加密和解密过程中都必须用到同一个密钥的加密体制，此加密体制的局限性在于：在发送和接受方传输数据时必须先通过安全渠道交流密钥，保证在他们发送或接收机密信息之前有可供使用的密钥。这种加密方法的优点是速度很快，很容易在硬件和软件中实现。

二、公用密钥加密体制

公用密钥需要两个相关密码，一个密码作为公钥，另一个密码作为私钥。在公用密钥体制中，信息接受者可以把他的 放到INTERNET的任意地方，或者用非密钥的邮件发给信息的发送者，信息的发送者用他的公钥加密信息后发给信息接收者，信息接收者则用他自己的私钥解密信息。在所有公钥机密算法中，最典型的代表是1978年由R.Rivest 、A.Shamir和 L.Adlman三人发明的RSA，现在已经有许多应用RSA算法实现的数字签名系统了。

总之，密码技术是网络安全最有效的技术之一。加密技术不但可以防止非授权用户搭线窃听和入网，而且也是对付恶意软件的有效方法之一。

§2.3防火墙枝术

防火墙是网络访问控制设备，用于拒绝除了明确允许通过之外的所有通信数据，它不同于只会确定网络信息传输方向的简单路由器，而是在网络传输通过相关的访问站点时对其实施一整套访问策略的一个或一组系统。大多数防火墙都采

13

用多种功能相结合的形式来保护自己的网络不受恶意传输的攻击，其中最流行的技术有静态分组过滤、动态分组过滤、状态过滤和代理服务器技术，它们的安全级别依次升高，但具体实践中既要考虑体系的性价比，又要考虑安全兼顾网络连接能力。此外，现今良好的防火墙还采用了VPN、监视和入侵检测技术。

§2.4认证技术

认证技术就是验证一个用户、系统或系统进程的身份，当这种验证发生时，依据系统管理员制定的参数而使真正的用户或系统能够获得相应的权限。常用的认证技术如下:

一、身份认证

当系统的用户要访问系统资源时要求确认是否是合法的用户，这就是身份认证。常采用用户名和口令等最简单方法进行用户身份的认证识别。

二、报文认证

报文认证主要是通信双方对通信的内容进行验证，以保证报文在传送中没被修改过。

三、访问授权

访问授权主要是确认用户对某资源的访问权限。 四、数字签名

数字签名是一种使用加密认证电子信息的方法，是以电子形式存储的一种消息，可以在通信网络中传输。由于数字签名是利用密码技术进行的，所以其安全性取决于所采用的密码体制的安全制度。

§2.5杀毒软件技术

杀毒软件肯定是最常见的，也是用得最普遍的安全技术方案，因为这种技术实现起来最简单。但大家都知道杀毒软件的主要功能就是杀毒，功能十分有限，不能完全满足安全的需要。这种方式对于个人用户或小企业或许还能满足需要，但如果个人或企业有电子商务方面的需求，就不能完全满足了。可喜的是，随着杀毒软件技术的不断发展，现在的主流杀毒软件同时也能预防木马及其他一些黑客程序的入侵。还有的杀毒软件开发商同时提供了软件防火墙，具有了一定防火墙的功能，在一定程度上能起到硬件防火墙的功效，如卡巴斯基、金山防火墙、NORTON防火墙，360防火墙等。

§2.6入侵检测技术

入侵检测技术是网络安全研究的一个热点，入侵检测是对对防火墙技术的一种逻辑补偿技术，是一种积极主动的安全防护技术，提供了对内部入侵、外部入

14

侵和误操作的实时 保护，在网络系统受到危害之前拦截相应入侵。随着时代的发展，入侵检测技术将朝着三个方向发展：分布式入侵检测。智能化入侵检测和全面的安全防御方案。

入侵检测系统（IDS Instusion Detection System）是进行入侵检测的软件与硬件的组合，其主要功能是检测，除此之外还有检测部分阻止不了的入侵；检测入侵的前兆，从而加以处理，如阻止，封闭等；入侵事件的归档，从而提供法律依据；网络遭受威胁程度的评估和入侵事件的恢复等功能。

§2.7安全扫描技术

网络安全技术中，另一类重要技术为安全扫描技术。安全扫描技术与防火墙、安全监控系统互相配合能够提供很高安全性的网络。

安全扫描工具源于Hacker在入侵网络系统时采用的工具。商品化的安全扫描工具为网络安全漏洞的发现提供了强大的支持。

安全扫描工具通常也分为基于服务器和基于网络的扫描器。

基于服务器的扫描器主要扫描服务器相关的安全漏洞，如password文件，目录和文件权限，共享文件系统，敏感服务，软件，系统漏洞等，并给出相应的解决办法建议。通常与相应的服务器操作系统紧密相关。

基于网络的安全扫描主要扫描设定网络内的服务器、路由器、网桥、变换机、访问服务器、防火墙等设备的安全漏洞，并可设定模拟攻击，以测试系统的防御能力。通常该类扫描器限制使用范围(IP地址或路由器跳数)。网络安全扫描的主要性能应该考虑以下方面：

一、速度。在网络内进行安全扫描非常耗时。

二、网络拓扑。通过GUI的图形界面，可迭择一步或某些区域的设备。 三、能够发现的漏洞数量。

四、是否支持可定制的攻击方法。通常提供强大的工具构造特定的攻击方法。因为网络内服务器及其它设备对相同协议的实现存在差别，所以预制的扫描方法肯定不能满足客户的需求。

五、报告，扫描器应该能够给出清楚的安全漏洞报告。

六、更新周期。提供该项产品的厂商应尽快给出新发现的安生漏洞扫描特性升级，并给出相应的改进建议。

安全扫描器不能实时监视网络上的入侵，但是能够测试和评价系统的安全性，并及时发现安全漏洞。

§2.8访问控制技术

每个系统都要确保访问用户是有访问权限的，这样才允许他们访问，这种机制叫做访问控制。访问控制是通过一个参考监视器，在每一次用户对系统目标进行访问时，都由它来进行调节，包括限制合法用户的行为。每当用户对系统进行访问时，参考监视器就会查看授权数据库，以确定准备进行操作的用户是否确实

15

得到了可进行此项操作的许可。

所有操作系统都支持访问控制。访问控制是保护服务器的基本机制，必须在服务器上限制哪些用户可以访问服务或守护进程。

§2.9虚拟专用网技术

VPN是目前解决信息安全问题的一个最新、最成功的技术之一。所谓虚拟专用网（VPN）技术就是在公共网络上建立专用网络，使数据通过安全的“加密管道“在公共网络中传播。在公共通信网络上构建VPN有两种主流的机制：路由过滤技术和隧道技术。目前VPN主要采用了如下四项技术来保障安全：隧道技术（Tunneling）、加/解密技术（ Encryption&Decryption）、密钥管理技术（ Key Management）和使用者与设备身份认证技术（Authentication）。

§2.10 VPN技术解决方案——华为3Com 动态VPN解决方案

一、 概述

在现有的IP VPN组网方案中，一般采用GRE隧道、L2TP、IPSec等方式。但是这些方案都存在一个弊端，就是必须是按照事先的配置进行组网，并且要完成一个全联通的网络时（如图2.1所示），结构和配置就变得复杂。由于要建立一对一的连接，所以当有 N 个网络设备进行互联时，网络的就必须建立N×(N－1) / 2个连接，这样不仅造成了组网和配置的复杂，而且配置时必须知道对端设备的基本信息，试想如果其中有一个节点的设备修改了配置，那么其他所有节点都必须针对这台设备修改本地配置，这给维护增加了很大的成本。

图2.1 传统VPN方式下的全联通

Quidway SecPath VPN安全网关（以下简称网关）可以提供动态VPN的解决方案，能有效地解决以上传统VPN的缺陷。动态VPN采用了Client和Server的方式，任意一个Client设备只需要知道Server的信息就能够和其他Client设备进行互通，并且这种互通是自动的，不需要任何人为的干预。企业的总部放置一

16

台网关作为Server，其他设备完全就可以随时通过VPN互联，并且每个属于该VPN内的Client设备都能够互相访问（如图2.2所示）。通过这种方案进行VPN的组网不尽降低了维护成本，而且使得网络应用更加灵活，加上动态VPN提供的认证和加密特性完全保证了用户的网络安全。

图2 .2 VPN解决方案图

二、动态VPN的基本原理和关键技术 （一） 动态VPN的基本原理

动态VPN采用了Client / Server的方式，一台网关作为Server，其他的网关作为Client。每个Client都需要到Server进行注册，注册成功之后Client就可以互相通讯了。Server在一个VPN当中的主要任务就是获得Client的注册信息，当有一个Client需要访问另一个Client时通知该Client所要到达目的地的真正地址。

动态VPN采用了隧道技术，即在每对互相通讯的网关上都自动打通一条隧道，所有的数据都在隧道中传输，当该隧道没有数据流量的时候又会自动切断该隧道以节约资源或成本。目前动态VPN支持两种隧道方式，即GRE隧道和UDP隧道。GRE隧道方式属于标准协议的隧道；而UDP隧道方式是华为3Com公司的专利方式，这种方式能够很好的解决穿透NAT/防火墙的问题，这是GRE方式所不及的。

（二）动态VPN的关键技术 1.穿透NAT/防火墙技术

动态VPN采用UDP方式建立隧道，使用这种技术建立隧道的最大好处就是能够穿透NAT/防火墙。传统的GRE方式建立隧道，由于GRE Tunnel是基于三层IP建立隧道，所以不支持PAT端口方式的一对多的地址转换，就需要大量的公网IP地址。动态VPN采用UDP方式建立隧道就完全避免了这种问题的发生，当网关使用UDP连接建立隧道，可以支持地址和端口的应用，当隧道通过NAT/防火墙的时候就会转换为对应的公网IP地址和相应的端口号，从而完成数据的穿越NAT网关。

2.动态IP地址构建VPN技术

传统的GRE方式建立隧道就必须知道对端设备的IP地址，一旦有一台设备IP地址更换，那其他相关设备就全部都需要更改配置；同时由于传统的GRE隧道建

17

立必须知道对方的IP地址，这样就使得动态IP地址的设备就无法正常建链。

现在的宽带不断的推广应用，如果中小企业使用xDSL或者以太网接入方式的话要比以前专线方式接入节省大量的线路租用费用，但是一般的xDSL接入或者以太网接入使用的是动态的IP地址，这样就出现了一个问题，如何使用动态的IP地址来建立企业自己的VPN网络？显然传统的VPN构建方式已经满足不了现在的应用了，为此华为3Com公司的Quidway SecPath VPN安全网关，推出适合动态IP地址构建企业VPN的动态VPN技术和解决方案。

动态VPN在同一个VPN内部构建隧道不需要知道其他Client网关的任何信息，只需要配置自己的信息并指定相应的Server就完成了。所以使用动态VPN时用户只需配置一次，不管其他Client设备怎么更改也都能够进行互相通讯，同时用户也不用关心自己当前使用的IP地址是多少，更加适应现在动态IP地址的使用方式。

为了能够让用户使用更加方便、为了让更多的用户能够享受华为3Com动态VPN的优点、同时也为了用户降低组网成本，华为3Com公司还推出基于PC的客户端软件Quidway SecPoint，这样用户能够在外出时只需通过PC进行ADSL或者普通拨号方式就能够和公司的其他用户进行连接。

下图2.3描述一个公司的VPN网络，既有固定IP地址用户（总部固定网络），也有动态IP地址用户（分支机构ADSL拨号和SOHO用户普通拨号）。如果这时有公司内部人员出差需要访问公司网络资源，那么只需要该用户拨号上网，到公司Server上注册，然后就可以访问任何用户（包括固定IP地址用户和其他动态IP地址用户设备）。在下图中以红色虚线表示。

图2..3 移动拨号用户访问整个VPN网络

3.自动建立隧道技术

使用传统GRE方式构建VPN，如果有N台网关需要建立一个全联通的网络的话就需要在每台网关上创建N－1个Tunnel接口，使每个Tunnel接口对应一台对端设备，并且需要配置N－1个对端地址，整个网络一共需要配置N×(N－1)个Tunnel接口，这个工作量对于一个中型网络来说简直就是不可想象的工作量。不光如此，每当更改一台设备的IP地址时，其他N－1个设备都需要重新更改配置，这

18

样给维护带来了很大的成本，并且也容易导致人为的错误。

当人为操作会给整个通讯网络带来一定的风险的时候本文作者们就需要一种自动方式来维护网络的正常运行。动态VPN在两个网关之间建立隧道完全是自动建立的，每台作为Client的网关只需配置自己相关的东西，如本地的IP地址、UDP方式下使用的端口号、所属的VPN和Server等；不需要知道其他Client端的任何信息就可以互相通讯。在这种方式下会比传统的GRE隧道方式减少大部分的工作量，如果是N台网关构建VPN网络的话，只需配置N台设备自己的信息就可以了，要比传统的方式减少N×(N－2)的工作量，并且很大程度上减少了人为错误的发生。

4.认证加密技术

VPN的主要特点就是在公共网络构建一个属于企业自己的专用网络，使用了VPN技术之后企业内部的设备都在一个VPN网络内部，不管各个分支机构所处何地都像是公司内部网络，可以直接进行访问和数据传输。但是由于是在公网上传输数据，那么安全特性就显得尤为重要了，没有一定的安全机制，企业内部的数据在公网上就会被其他人所截取，企业内部的机器也将受到网络上其他设备的攻击，这样给企业将带来灾难性后果。

动态VPN使用了认证、加密等技术，最大程度地保证用户数据的安全，用户网络的安全。首先，动态VPN提供了注册认证机制，Client端设备要想加入到某个特定的动态VPN内，必须首先经过Server的认证，只有通过Server认证的Client设备才能够接入企业的VPN网络，这样保证了非授权用户非法登录，同时也阻止了人为的破坏。其次，Client和Client之间建立隧道时也必须经过认证，就是说必须两个Client都经过同一个Server的认证才允许建立隧道，这样就可以防止公网上非法用户的入侵。另外，在使用动态VPN的接口上可以启用IPSec进行加密，保证用户在公网上传输的数据的安全可靠。有了上述这些措施之后，动态VPN网络内部就是一个相对安全的区域，企业可以放心的在VPN内传输自己的数据了。

5.支持多个VPN域

为了能够使得用户能够最大限度的使用网络设备资源，降低用户的网络构建成本，动态VPN允许用户在一台网关上支持多个VPN域。如图2.4即一台网关不仅可以属于VPN A，也可以属于VPN B，并且可以在VPN A中作为Client设备，同时还可以在VPN B中作为Server设备使用。这样大大提高了组网的灵活性，也可以更加充分的使用网络设备资源，减少了用户的投资。

19

图2.4 一台网关支持多个VPN域

由于传统的VPN技术在构建网络的时候越来越显得烦杂，对移动的用户或者动态IP地址的用户支持显得力不从心，使得传统方式构建的企业级的VPN网络处于尴尬境地。对于企业来说，需要能够采用一种新的简单的方式，既能够满足跨不同地域的固定IP地址用户互相访问，也同时能够满足移动的动态IP地址用户的企业网络访问。对于运营商来说，也希望能够借助目前自己的网络来给企业用户构建VPN网络，满足跨地域企业组网需求。但是目前提供的组网方式对于中小型企业来说是一种价格高昂花费，使得好多中小型企业望而却步。

随着IP宽带网络的发展，越来越多的企业从原来的专线方式投到了宽带接入的怀抱，特别是近期xDSL接入的兴起，更多的中小型企业选择xDSL作为公司接入网络的一种首选方案。但随之而来的问题也渐渐暴露，使用一般的xDSL接入方式虽然价格低廉，但是和普通拨号一样是非固定的IP地址，甚至是某个ISP提供的私人网络IP地址，这些问题导致用户无法按照传统的方式来建立VPN网络。

华为3Com公司提出的动态VPN解决方案充分考虑了企业用户的需求，同时也考虑了运营商的利益。动态VPN不但使动态IP地址之间建立VPN成为可能，而且使用户付出较低的成本就可以享受宽带VPN带来的方便，同时动态VPN使用的安全特性能够让用户对VPN的数据更加安心。

20

第三章 网络安全漏洞分析

§3.1漏洞的概念

漏洞是存在于系统中的一个弱点或者缺点。广义的漏洞是指非法用户未经授权获得访问或提高其访问层次的硬件或软件特征。实际上，漏洞可以是任何东西，许多用户非常熟悉的特殊的硬件和软件存在漏洞，如IBM兼容机的CMOS口令在COMS的电池供电不足、不能供电或被移走情况下会丢失CMOS信息也是漏洞；操作系统、浏览器、TCP/IP、免费电子邮箱等都存在漏洞。微软对漏洞的明确定义：“漏洞是可以在攻击过程中利用的弱点，可以是软件、硬件、程序缺点、功能设计或者配置不当等。”

§3.2漏洞的分类

漏洞的表现形式各式各样，从不同的方面来划分，漏洞的类型是不一样的，下面从几不同方面简要介绍一下。

一、从不同角度划分

对一个特定程序的安全漏洞，要以从多方面进行分类。 （一）从用户群体可分为：

大众类软件的漏洞，如WINDOWS的漏洞、IE的漏洞等。 专用软件的漏洞 ，如ORACLE漏洞、APACHE漏洞等。 （二）从数据角度分为：

能读按理不能读的数据库，包括内存中的数据库、文件中的数据、用户输入的数据、数据库中的数据等。

能把指定的内容写入指定的地方（这个地方包括文件、内存、数据库等）。 （三）从触发条件上可以分为：

主动触发漏洞，攻击者可以主动利用该漏洞进行攻击，如直接访问他人计算机。

被动触发漏洞，必须要计算机的操作人员配合才能进行攻击 所利用的漏洞。比如攻击者给管理员发一封邮件，带了一个特殊的JPG图片文件，如果管理员打开图片文件就会导致看图软件的某个漏洞被触发，从而系统被攻击；介如果管理员不看这个图片，则不会受攻击。

（四）从时序上可分为：

已发现很久的漏洞：厂商已经发布补丁或修补方法，很多人都已经知道。这类漏洞 通常很多人已经进行了修补，宏观上看危害比较小。

刚发现的漏洞：厂商刚发补丁或修补方法，知道 的人还不多。相对于上一各漏洞其危害性较大，如果此时出现了蠕虫或傻瓜化的利用程序，那么会导致大批系统受到攻击。

21

ODAY：还没有公开的漏洞，在私下交易中的。这类漏洞通常对大众不会有什么 影响，介会导致攻击者瞄准的目标受到精确攻击，危害也是非常之大的。

二、按照漏洞的形成原因划分

按照漏洞的形成原因，漏洞大体上可以分为程序逻辑结构漏洞、程序设计错误漏洞、开放式协议造成的漏洞和人为因素造成的漏洞。

（一）程序逻辑结构漏洞

这种类型的漏洞有可能是编程人员在编写程序时，因为程序的逻辑设计不合理或者错误而造成的程序逻辑漏洞。这种类型的漏洞最典型的是微软的是微软的WINDOWS 2000用户登录的中文输入法漏洞。非授权人员可以通过 登录界面的输入法的帮助文件绕过WINDOWS的用户名和密码验证而取得计算机的最高权限。

（二）程序设计错误漏洞

这种类型的漏洞是编程人员在编写程序时由于技术上的疏忽造成的漏洞。这种类型的漏洞最典型的是缓冲区溢出漏洞，它也是被黑客利用得最多的一种类型的漏洞。

（三）开放式协议造成的漏洞

目前，国际互联网的通信采用的是具有开放性的TCP/IP协议。因为TCP/IP协议的最初设计者在设计该通信协时，只考虑到了协议的实用性，而没有考虑到协议的开放和透明性嗅探网络数据包，窃取数据包里面的用户口令和密码信息；TCP协议三次握手的潜在缺陷所导致的拒绝服务攻击等。

（四）人为因素造成的漏洞

一个系统如果本身设计得很完善，安全性也很高，但管理人员安全意识淡薄，同时会给系统留下漏洞。例如，系统本身非常完备安全，但系统登录所需要的管理员账号或口令因为设置过于简单而被黑客拆解出来了，那么其他的环节再安全也没有丝毫意义了。

三、按照漏洞可能对系统造成的直接威胁划分

按照漏洞可能对系统造成的直接威胁可划分如下： （一）远程管理员权限

攻击者无须通过一个账号登录到本地而直接获得远程系统的管理员权限，通常通过攻击以ROOT身份执行的有缺陷的系统守护进程来完成。漏洞的绝大部分来源于缓冲区溢出，小部分来自守护进程本身的逻辑缺陷。

（二）本地管理员权限

攻击者在已有一个本地账号能登录到系统的情况下，通过攻击本地某些有缺陷的程序、竞争条件等手段，得到系统的管理员权限。例如， LINUX的RESTORE是一个SUID程序，它执行时间可以获得系统ROOT权限。

（三）普通用户访问权限

攻击者利用服务器漏洞，取得系统的普通用户存取权限，对UNIX类系统通常是SHELL访问权限，对WINDOWS系统通常是CMD。EXE的访问权限，能够以一般用户的身份执行程序，存取文件。攻击者通常攻击非ROOT身份运行的守护进程、有缺陷的CGI程序等手段获得这种访问权限。

（四）远程拒绝服务

攻击利用这类漏洞，无须登录即可对系统发起拒绝服务攻击，使系统或相关的应用程序崩溃或失去响应能力。这类漏洞通常是系统本身或其守护进程有缺陷或设置不正确造成的。早期的LINUX和BSD的TCP/IP堆栈的IP片断重组模块存

22

在缺陷，攻击者通过向系统发出特殊的IP片断包即可使机器崩溃。

（五）口令恢复

因为采用了很弱的口令加密方式，使攻击者可能很容易地分析出口令的加密方法，从而通过某种方法得到密码后还原出明文来。

（六）欺骗

利用这类漏洞，攻击者可以对目标系统实施某种形式的欺骗，这通常是由于系统的实现上存在某些缺陷造成的。例如，IE曾经存在一个漏洞，允许一个恶意网络在另一个网站窗口内插入内容，从而欺骗用户输入敏感数据。

四、按照漏洞被利用方式划分

漏洞的存在是个客观事实，但漏洞只能以一定的方式被利用，每个漏洞都要求攻击处于网络空间一个特定的位置，可能的攻击方式分为以下4类：

（一）物理接触

攻击者需要物理地接触目标系统才能利用这类漏洞，对系统的安全构成威胁。 （二）主机模式

这是通常的漏洞利用方式。攻击方为客户机，被攻击方为目标主机。比如，攻击者发现目标主机的某个守护进程存在一个远程溢出漏洞，攻击者可能因此取得主机的额外访问权。

（三）客户机模式

当一个用户访问网络上的一个主机时，可能遭到主机发送给自己恶意命令的袭击。客户机不应该过度信任主机。如WEB浏览器IE存在不少漏洞，可以使一些恶意的网站用HTML标记通过那些漏洞在浏览的客户机中执行程序或读写文件。

（四）中间人方式

当攻击者位于一个可以观察或截获两个机器之间的通信的位置时，就可以认为攻击者处于中间人方式。对于某些公钥加密的实现，攻击者可以截获并取代密钥伪装成网络上的两个节点来绕过这种限制。

§3.3漏洞的特征

从以上的漏洞分类可以看出漏洞是广泛存在的，不同的设备、操作系统。应用系统都存在安全漏洞，归纳起来漏洞有如下特征：

一、漏洞的长久性

漏洞问题是与时间紧密相关的。一个系统从发布的那一天起，随着用户的深入使用，系统中存在的漏洞会被不断地暴露出来，这些早先被发现的漏洞也会不断地被系统供应商发布的补丁软件修补，或在以后发布的新版系统中得以纠正。而在新版系统纠正了旧版本中具有的漏洞的同时，也会引入一些新的漏洞和错误。因而随着时间的推移，旧的漏洞会不断消失，新的漏洞会不断出现。漏洞问题也会长期存在。例如，WINDOWS XP操作系统自发布以来，随着时间的推移，新的漏洞不断出现，微软公司不断发布补丁和升级版。因此，只能针对目标系统版本和其上运行的软件版本，以及服务运行设置实际环境来具体讨论可能存在的漏洞及其可行的解决方案。

二、漏洞的隐蔽性

网络系统安全漏洞是指可以用来对系统安全造成危害、系统本身具有的或设

23

置上存在的缺陷。总之，漏洞 是系统在具体实现中的错误。例如，在建立安全机制中规划考虑上的缺陷，做系统和其他软件编程中的错误，以及在使用该系统提供的安全机制时人为的配置错误等。

网络系统安全漏洞是在系统具体使用中产生的错误，但并不是系统中存在的错误都是安全漏洞，只有能威胁到系统安全的错误才是漏洞。许多错误在通常情况下并不会对系统安全造成危害，只有被人在某些条件下故意使用时才会影响系统安全。

三、漏洞多样性

漏洞会影响到很大范围的软、硬件设备，包括操作系统本身及支撑软件平台、网络客户和服务器软件、网络路由器和安全防火墙等。也就是说，在网络上的不同软件、硬件设备都可能存在不同的安全漏洞问题。

四、漏洞的被发现性

漏洞虽然可能最初就存在于系统当中，但一个漏洞并不是自己出现的，必须要有人发现。在实际使用中，用户会发现系统中存在错误，而入侵者会有意利用其中的某些错误并使其成为威胁系统安全的工具，这时人们会认识到这个错误是一个系统安全漏洞。系统供应商会尽快发布针对这个漏洞的补丁程序，纠正这个错误。这就是系统安全漏洞从被发现到被纠正的一般过程。例如，微软公司在发布WINDOWS VISTA时认为是最安全的操作系统。没过多久，由用户在实际使用或由安全人员和黑客在研究中发现许多漏洞。也就是说，绝对的安全是没有的。攻击者往往是安全漏洞的发现者和使用者。从某种意义上讲，是攻击者使网络系统变得越来越安全。

§3.4漏洞严重性的等级

一般来说，漏洞的威胁类型基本上决定了它的严重性，可以把严重性分成高、中、低三个级别或A、B、C三个级别。

一、C类，允许拒绝服务的漏洞

允许拒绝服务的漏洞属于C类，是不太重要的漏洞，属于低级别。这种攻击几乎总是基于操作系统的。也就是说，这些漏洞存在于操作系统网络传送本身。当存在这种漏洞时，必须通过软件开发者或销售商的弥补予以纠正。

二、B类，允许本地用户非法访问的漏洞

B类漏洞是允许本地用户获得增加的和未授权的访问，这种漏洞一般在多种平台的应用程序中发现，大多数B类漏洞由应用程序中的一些缺陷引起。有些常见的编程错误导致这种漏洞的产生。

三、A类，允许过程用户经授权访问的漏洞 A类漏洞是威胁性最大的一种漏洞。大多数A类漏洞是由于较差的系统管理或设置有误造成的。例如：远程和本地管理员权限大致对应为A类，普通用户权限、权限提升、读取受限文件、远程和本地拒绝服务大致对应B类，远程非授权文件存取。

24

第四章 漏洞扫描系统概述

§4.1漏洞扫描系统的简介

§4.1.1漏洞扫描系统定义

漏洞扫描是一种自动检测计算机安全脆弱点的技术。扫描程序集中了已知的常用攻击方法，针对系统可能存在的各种脆弱点进行扫描，输出扫描结果，以便审查人员分析并发现系统存在的漏洞。扫描程序还可以通过TCP/IP端口查询，记录目标响应的情况，收集相关的有用信息，以发现网络系统的安全漏洞。利用漏洞扫描技术可以快速地在大范围风发现已知的系统安全漏洞。

网络漏洞扫描系统是一种自动检测远程或本地主机安全性弱点的程序。通过使用漏洞扫描器，系统管理员能够发现所维护的WEB服务器的各种TCP端口的分配、提供的服务、WEB服务软件版本和这些服务及软件呈现在互联网上的安全漏洞，从而在计算机网络系统安全保卫战中做到“有的放矢”，及时修补漏洞，构筑坚固的安全长城。

§4.1.2漏洞扫描系统的必要性分析

防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务、实现网络和信息安全的基础设施，但是它也是存在局限性。

防火墙具有下列局限性：

一、防火墙不能防范不经过防火墙的攻击。没有经过防火墙的数据，防火墙无法检查，比如拨号上网。

二、防火墙不能解决来自内部网络的攻击和安全问题。“外紧内松”是一般局域网络的特点，一道严密防守的防火墙其内部的网络也有可能是一片混乱。防火墙内部各主机间的攻击行为，防火墙也只能如旁观者一样冷视而爱莫能助。

三、防火墙不能防止最新的未设置策略或错误配置引起的安全威胁。防火墙的各种策略，也是在该攻击方式经过专家分析后给出其特征进而设置的。如果世界上新发现某个主机

四、防火墙不能防止可接触的人为或自然的破坏。防火墙是一个安全设备，但防火墙本身必须存在于一个安全的位置。

五、防火墙无法解决TCP/IP等协议的漏洞。防火墙本身就是基于TCP/IP等

25

协议来实现的，就无法解决TCP/IP操作的漏洞。比如利用DOS或DDOS攻击。

六、防火墙对服务器合法开放的端口的攻击大多无法阻止。例如，利用开放了3389端口取得没打过XP补丁的Windows 2000的超级权限，利用ASP程序进行脚本攻击等。由于其行为在防火墙一级看来是“合理”和“合法”的，因此就被简单地放行了。

七、防火墙不能防止受病毒感染的文件的传输。防火墙本身并不具有备查杀病毒的功能，即使集成了第三方的防病毒软件，也没有一种软件可以查杀所有的病毒。

八、防火墙不能防止数据驱动式的攻击。当有些表面看来无害的数据邮寄或拷贝到内部网的主机上并被执行时，可能会发生数据驱动式的攻击。

九、防火墙不能防止本身安全漏洞的威胁。防火墙保护别人有时却无法保护自己，因为目前还没有厂商绝对保证防火墙不会存在安全漏洞。

总之，随着互联网的日趋普及，互联网上的犯罪活动也越来越多，特别是互联网大范围的开放以及金融领域网络的接入，使得越来越多的系统遭到入侵攻击的威胁。但是，不管入侵者是从外部还是从内部攻击某一网络系统，攻击机会都是通过挖掘操作系统和应用服务程序的弱点或者缺陷来实现的，例如1988年的“蠕虫事件”。如果用户能够根据具体的应用环境，尽可能早地通过网络扫描来发现这些漏洞，并及时采取适当的处理措施进行修补，就可以有效地阻止入侵事件的发生。因此，在网络系统建设中采用漏洞扫描技术是非常必要的。

§4.1.3漏洞扫描系统构成

漏洞扫描系统组成可以用图4.1所示的结构图来表示。

扫描引擎 漏洞数据库 当前活动的扫描知识库 用户配置控制的 结果存储器和报告生成工具

图4.1漏洞扫描系统组成示意图

漏洞扫描系统各组成部分的功能说明如下：

漏洞数据库模块：漏洞数据库包含了各种操作系统的各种漏洞信息，以及如何检测漏洞的指令。由于新的漏洞会不断出现，该数据库需要经常更新，以便能够检测到新发现的漏洞。

用户配置控制台模块：用户配置控制台与安全管理员进行交互，用来设置要扫描的目标系统以及扫描哪些漏洞。

26

扫描引擎模块：扫描引擎是扫描器的主要部件。根据用户配置控制台部分的相关设置，扫描引擎组装好相应的数据包，发送到目标系统，将接收到的目标系统的应答数据包与漏洞数据库中的漏洞特征进行比较，来判断所选择的漏洞是否存在。

当前活动的扫描知识库模块：通过查看内存中的配置信息，该模块监控当前活动的扫描，将要扫描漏洞的相关信息提供给扫描引擎，同时还接收扫描引擎返回的扫描结果。

结果存储器和报告生成工具：就是利用当前活动扫描知识库中存储的扫描结果，生成扫描报告。扫描报告将告诉用户配置控制台设置了哪些选项，根据这些设置，扫描结束后，在哪些目标系统上发现了哪些漏洞。

§4.2网络漏洞扫描器

一般情况可以将漏洞扫描器分为两种类型，主机漏洞扫描器（Host Scanner）和网络漏洞扫描器（Network Scanner）。

主机漏洞扫描器是指在系统本地运行检测系统漏洞的程序，网络漏洞扫描器是指基于Internet远程检测目标网络和主机系统漏洞的程序。网络漏洞扫描器通过远程检测目标主机TCP/IP不同端口的服务，记录目标给予的回答。通过这种方法，可以搜集到很多目标主机的各种信息，例如是否能用匿名登录，是否有可写的FTP目录等。在获得目标主机TCP/IP端口和其对应的网络访问服务的相关信息后，与网络漏洞扫描系统提供的漏洞库进行匹配，如果满足匹配条件，则视为漏洞存在。在匹配原理上，网络漏洞扫描器可以采用的是基于规则的匹配技术，即根据安全专家对网络系统安全漏洞、黑客攻击案例的分析和系统管理员关于网络系统安全配置的实际经验，形成一套标准的系统漏洞库，然后在此基础之上构成相应的匹配规则，由程序自动进行系统漏洞扫描的分析工作。

§4.2.1漏洞扫描器的扫描工作原理

网络漏洞扫描器的扫描工作原理是，首先探测目标系统的活动主机，对活动主机进行端口扫描，确定系统开放的端口，同时根据协议指纹技术识别出主机的操作系统类型。然后扫描器对开放的端口进行网络服务类型的识别，确定其提供的网络服务。漏洞扫描器根据目标系统的的操作系统平台和提供的网络服务，调用漏洞资料库中已知的各种漏洞进行逐一检测，通过对探测响应数据包的分析判断是否存在已知安全漏洞。目标可以是工作站、服务器、交换机、数据库应用等各种对象。扫描结果可以给用户提供周密可靠的安全性分析报告，是提高网络安全整体水平的重要依据。

扫描器并不是一个直接的攻击网络漏洞的程序，它仅仅能帮助用户发现目标机存在的某些弱点。一个好的扫描器能对它得到的数据进行分析，帮助用户查找目标主机的漏洞。但它不会提供进入一个系统的详细步骤。例如，下面是一个简单的漏洞扫描的源代码，该扫描程序可以完成以下4项工作：

27

●连接目标主机Server； ●向目标主机发送GET请求； ●接收目标返回数据；

●根据返回数据判断文件是否存在。 /* 端口扫描器 源代码 */ /* CGIScanner.cpp */

/*******************************************/ #include /*引用头文件*/ #include #include

int main(int argc,char *argv[]) /* UNIS 和 Linux 中的标准写法*/ {

if (argc!=2){

printf (\"Useage : scan [IP address]\\n\"); return(1); }

struct sockaddr_in bo; /*互联网套接字结构*/ struct hostent *he; /*主机信息类型*/ MINDATA minData; int i;

WORD wVersionRequested; SOCKET sock;

char buff[1024]; /*缓冲区*/ char *ex[10];

ex[1]=\"GET /../../../../etc/passwd HTTP/1.0\\n\\n\";

ex[2]=\"GET/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir+c:\\HTTP/1.0\\n\\n\";

ex[3]=\"GET /A.ida/%c1%00.ida HTTP/1.0\\n\\n\";

ex[4]=\"GET /cgi-bin/pfdispaly.cgi?/../../../../etc/motd HTTP/1.0 \\n\\n\"; ex[5]=\"GET /cgi-bin/test-cgi?\\help&0a/bin/cat%20/etc/passwd HTTP/ 1.0\\n\\n\";

ex[6]=\"GET /cgi-bin/test-cgi?* HTTP/1.0\\n\\n\"; char *fmsg=\"HTTP/1.1 200 OK\";

wVersionRequested = MAKEWORD( 1, 1 );

if (WSAStartup(wVersionRequested , &minData)){ printf(\"Winsock Initialization failed.\\n\"); exit(1); }

if ((sock=socket(AF_INET,SOCK_STREAM,0))==INVALID_SOCKET){ printf(\"Can not create socket.\\n\"); exit(1); }

sock = socket(AF_INET,SOCK_STREAM,0); /*创建用于监听的套接字*/

28

bo.sin_family = AF_INET; /*设置地址结构遵循TCP/IP协议*/ bo.shin_port = htons(80);

bo.sin_addr.s_addr= inet_addr(argv[1]); if ((he=gethostbyname(argv[1]))!=NULL){

memcpy((char *)&bo.sin_addr.s_addr,he->h_addr,he->h_length); } else{

if((bo.xin_addr.s_addr=inet_addr(argv[1]))==-1){ WSACleanup(); exit(1); } }

for (i=1 ; i<7; i++) {

if (connectsock,(struct sockaddr*)&bo,sizeof(bo))==0){ send(sock,ex[i],strlen(ex[i]),0); recv(sock,buff,sizeof(buff),0); if(strstr(buff,fmsg)!=NULL){

printf(\"\\nFound :%s/n\ } }

colsesocket(sock); /*关闭监听套接字*/ WASCleanup(); return(1); } }

提示：

编写漏洞扫描器探查远程服务器上可能存在的具有安全隐患的文件是否存在时，通常用socket建立过程，使用80端口，对这个端口发送一个GET文件的请求服务器接收到请求会返回文件内容，如果文件不存在则返回一个错误提示，通过接收返回内容可以判断文件是否存在。发送和接收数据需要使用函数 send() 和 recv()，其中对流中存在的字符串进行判断需要使用函数 strstr()。

扫描器应该有三项能力：发现一个主机的网络的能力；发现什么服务正在主机上运行的能力；发现服务漏洞的能力。

§4.2.2漏洞扫描技术

漏洞扫描通常采用两种策略，第一种是被动式策略，第二种是主动式策略。所谓被动式策略就是基于主机之上，对系统中不合适的设置、脆弱的口令以及其他与安全规则抵触的对象进行检查;而主动式策略是基于网络的，它通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应，从而发现其中的漏洞。利用被动式策略的扫描称为系统安全扫描，利用主动式的策略扫描称为网络安全

29

扫描。

漏洞扫描归纳起来主要有4种技术：

一、基于应用的检测技术。它采用被动的、非破坏性的办法检查应用软件包的设置，发现安全漏洞。

二、基于主机的检测技术。它采用被动的、非破坏性的办法对系统进行检测。通常，它涉及到系统的内核、文件的属性、操作系统的补丁等。这种技术还包括口令解密、把一些简单的口令剔除。因此，这种技术可以非常准确地定位系统的问题，发现系统的漏洞。它的缺点是与平台相关，升级复杂。

三、基于目标的漏洞检测技术。它采用被动的、非破坏性的办法检查系统属性和文件属性，如数据库、注册号等。通过消息文摘算法，对文件的加密数进行检验。这种技术的实现是运行在一个闭环上，不断地处理文件、系统目标、系统目标属性，然后产生检验数，把这些检验数同原来的检验数相比较。一旦发现改变就通知管理员。

四、基于网络的检测技术。它采用积极的、非破坏性的办法来检验系统是否有可能被攻击崩溃。它利用了一系列的脚本模拟对系统进行攻击的行为，然后对结果进行分析。它还针对已知的网络漏洞进行检验。网络检测技术常被用来进行穿透实验和安全审记。这种技术可以发现一系列平台的漏洞，也容易安装。但是，它可能会影响网络的性能。

§4.3网络漏洞扫描系统在企业网络安全实施中的应用实战

如图4.2 NetScan所示，NetScan网络安全漏洞扫描分析系统是一种基于网络的安全风险检测工具。它模拟黑客的网络攻击手法和行为，对网络中的被检系统进行攻击性的安全漏洞和安全隐患扫描，提交风险评估报告以及相应的修补措施建议。安全管理员定期使用NetScan对网络中的设备和系统进行安全性检查，可以最大限度地暴露网络中存在的安全隐患，再配合行之有效的修补措施，就可以将网络遭受入侵破坏的风险降至最低。

图4.2 NETSCAN

该产品于2002年11月通过中国人民解放军信息安全测评认证中心的测评认证。

一、功能特点

具有强大的扫描分析能力。针对网络系统中存在的主要弱点和漏洞，集成了

30

几十大类检测方法，能全方位、多侧面的对网络安全隐患进行扫描分析，基本上覆盖了目前网络和操作系统存在的主要弱点和漏洞，具有强大的扫描分析能力。

具有安全策略的自定义能力。提供安全策略配置功能，用户可根据不同的安全需求，选取或自定义不同的扫描策略，对相应的网络设施进行扫描分析。

面向多操作系统，检测范围广泛。扫描分析的网络操作系统比较广泛，基本覆盖目前较常用的SUN Solaris、HP-UX、IBM Aix、Digital UNIX、SGI IRIX、Linux、Windows 9X/NT/2000/XP等系统，具有分析路由器、交换机、服务器和主机多种设备的能力。

具有远程和本地两种工作模式。能够对基于TCP/IP的网络主机实施扫描分析，具有跨网关操作的能力，可通过专线或拨号接入任何基于TCP/IP 的网络系统，支持本地或远程两种工作模式。

能够提出补救措施和安全策略。能给用户提出修补这些弱点和漏洞的建议和措施，建议用户采用否认保证系统安全的策略，最大限度地保证用户信息系统的安全。

具有较强的自我保护能力。系统采用完善的防护措施，有效地防止被滥用和盗用。

二、典型应用模式

该系统作为计算机网络信息系统安全防护标准要求的重点防护措施之一，是面向网络信息系统的专用网络安全漏洞扫描检测设备，可作为安全管理职能部门和系统维护保障单位对网络信息系统实施安全评估和查漏补漏的有效工具和手段。系统采用了客户机/服务器体系结构，由扫描控制台和扫描服务器两个部分组成。其典型应用如下图4.3所示。

图4.3客户机/服务器体系结构图

扫描服务器采用1U机架式服务器，基于定制的Linux操作系统的嵌入式平台，其作用是执行扫描控制台下达的扫描任务、产生并回送扫描结果。

扫描控制台运行Windows 2000/XP系统下，具有直观的图形用户界面，主要完成扫描控制功能。

31

第五章 无线网络安全实战

近年来，随着笔记本电脑和个人数字代理（PDA）以及家电数字化等技术的发展，

人们利用信息技术进行通信联系和信息交流的空间和灵活性不断拓展。\"无线网络\"成为技术发展和社会应用的新宠，受到全社会的普遍欢迎，同时也成为网络发展商们争相抢占的新领域。\"

§5.1无线局域网安全现状与安全威胁

计算机通信网络，随着互联网技术的飞速发展而发展,从传统的有线网络发展到今天的无线网络,作为无线网络主要网络之一的无线局域网WLAN(Wireless Local

Network),满足了人们实现移动办公的梦想，为用户创造了一个丰富多彩的自由天空，让人能够真正体会到网络无处不在的奇妙感觉。

§ 5.1.1无线局域网的概述

一、WLAN的概念

WLAN是利用无线通信技术在一定的局部范围内建立的网络，是计算机网络与无线通信技术相结合的产物，它以无线多址信道作为传输媒介，提供传统有线局域网LAN（LocalAreaNetwork）的功能，能够使用户真正实现随时、随地、随意的宽带网络接入。

二、WLAN的特点

WLAN开始是作为有线局域网络地延伸而存在的，各团体、企事业单位广泛地采用了WLAN技术来构建其办公网络。但随着应用的进一步发展，WLAN正逐渐从传统意义上的局域网技术发展成为\"公共无线局域网\"，成为国际互联网INTERNET宽带接入手段。主要是因为无线局域网具有如下特点：

（一）具有高移动性，通信范围不受环境条件的限制，拓宽了网络传输范围。 （二）安全性能强，无线局域网采取网络隔离及网络认证措施；无线局域网设置有严密的用户口令及认证措施，防止非法用户入侵；无线局域网设置附加的第三份数据加密方案，即使信号被盗听也难以理解其中的内容。对于有线局域网中的诸多安全问题，在无线局域网中基本上可以避免。

（三）扩展能力强，在已有无线网络的基础上，只需通过增加AP（无线接入点）及相应的软件设置即可对现有网络进行有效扩展。无线网络的易扩展性是有线网络所不能比拟的。

（四）建网容易，管理方便。相对于有线网络，无线局域网的组建、配置和维护较为容易，一般计算机工作人员都可以胜任网络的管理工作。

（五）组网速度快，工程周期短。无线扩频通信可在数十分钟内迅速组建起

32

通信链路，实现临时、应急、抗灾等特殊情况的网络通信需求，而有线通信则需要较长时间。

（六）开发运营成本低。无线局域网在人们印象中式价格昂贵的，但实际上，在购买时不能只考虑设备价格，因为无线局域网可以在其他方面降低成本。有线通信的开通必须假设电缆，挖掘电缆沟或架设架空明线；而架设无线链路则无须架线挖沟，线路开通速度快。如果将所有成本和工程周期统筹考虑，无线网络组建的投资是相当节省的。使用无线局域网不仅可以减少对布线的需求和与布线相关的一些开支，还可以为用户提供灵活性更高、移动性更强的信息获取方法。

（七）受自然环境、地形及灾害影响小。有线通信除电信部门外，其他单位的通信系统没有在城区挖沟铺设电缆的权力，而无线通信方式则可根据客户需求灵活定制专网。有线通信受地势影响，不能任意铺设；而无线通信覆盖范围大，几乎不受地理环境限制。

三、无线局域网的应用

WLAN作为有线网络无线延伸，可以广泛应用在生活社区、游乐园、旅馆、机场车站等游玩区域实现旅游休闲上网；可以应用在政府办公大楼、校园、企事业等单位实现移动办公，方便开会及上课等；可以应用在医疗、金融证券等方面，实现医生在路途中对病人进行网上诊断，实现金融证券室外网上交易。对于难于布线的环境，如老式建筑、沙漠区域等，对于频繁变化的环境，如各种展览大楼；对于临时需要的宽带接入、流动工作站等，建立WLAN都是理想的选择。

（一）大楼之间：大楼之间建构网络的连结，取代专线，简单又便宜。 （二）餐饮及零售：餐饮服务业可使用无线局域网络产品，直接从餐桌即可输入并传送客人点菜内容至厨房、柜台。零售商促销时，可使用无线局域网络产品设置临时收银柜台。

（三）医疗：使用附无线局域网络产品的手提式计算机取得实时信息，医护人员可藉此避免对伤患救治的迟延、不必要的纸上作业、单据循环的迟延及误诊等，而提升对伤患照顾的品质。

（四）企业：当企业内的员工使用无线局域网络产品时，不管他们在办公室的任何一个角落，有无线局域网络产品，就能随意地发电子邮件、分享档案及上网络浏览。

（五）仓储管理：一般仓储人员的盘点事宜，透过无线网络的应用，能立即将最新的资料输入计算机仓储系统。

（六）货柜集散场：一般货柜集散场的桥式起重车，可于调动货柜时，将实时信息传回office，以利相关作业之逐行。

（七）监视系统：一般位于远方且需受监控现场之场所，由于布线之困难，可藉由无线网络将远方之影像传回主控站。

（八）展示会场：诸如一般的电子展，计算机展，由于网络需求极高，而且布线又会让会场显得凌乱，因此若能使用无线网络，则是再好不过的选择。

§5.1.2无线局域网的安全现状与安全威胁

一、无线局域网安全现状

33

WLAN开始是作为有线局域网的延伸而存在的，各团体、企事业单位广泛地采用了WLAN技术来构建其办公网络。随着应用的进一步发展，WLAN正逐渐从传统意义上的局域网技术发展成为“公共无线局域网”，成为国际互联网宽带接入手段。无线局域网之间传递消息不依赖于物理布线，这无疑给用户带来了极大的方便，但同时也使得无线局域网比传统局域网面临更多的安全威胁。而无线网络安全问题，主要表现在如下几个方面的问题。

(一)WEP密钥的发布问题

802.11本身并未规定密钥如何分发。所有安全性考虑的前提是假定密钥已通过与802.11无关的安全渠道送到了工作站点上，而在实际应用中，一般都是手工设置，并长期固定使用4个可选密钥之一。因此，当工作站点增多时，手工方法的配置和管理将十分烦琐并效率低下，而且密钥一旦丢失，WLAN将无安全性可言。

(二)WEP用户身份认证方法的缺陷

802.11标准规定了两种认证方式：开放系统认证和共享密钥认证。前者是默认的认证方法，任何移动站点都可加入BSS(Basic Service Set，基本服务集)，并可以跟AP(Access Point，接入点)通信，能“听到”所有未加密的数据，可见，这种方法根本没有提供认证，当然，也就不存在安全性。后者是一种请求响应认证机制：AP在收到工作站点STA的请求接入消息时发送询问消息，STA对询问消息使用共享密钥进行加密并送回AP，AP解密并校验消息的完整性，若成功，则允许STA接入WLAN。攻击者只需抓住加密前后的询问消息，加以简单的数学运算就可得到共享密钥生成的伪随机密码流，然后伪造合法的响应消息通过AP认证后接入WLAN。

(三)WEP服务集标识SSID和MAC地址过滤

WEP服务集标识SSID由Lucent公司提出，用以对封闭网络进行访问控制。只有与AP有相同的SSID的客户站点才允许访问WLAN。MAC地址过滤的想法是AP中存有合法客户站点的MAC地址列表，拒绝MAC地址不在列表中的站点接入被保护的网络。但由于SSID和MAC地址很容易被窃取，因此安全性较低。

(四)WEP加密机制的天生脆弱性

WEP加密机制的天生脆弱性是受网络攻击的最主要原因，目前，消除WEP算法安全性方面缺陷的工作正在加紧进行，其中IEEE Group i开发了WEP2算法作为802.11i的安全标准，它对现有系统改进相对较小并易于实现。

二、无线局域网的安全威胁

现在，除了有线网络常见的网络安全威胁以外，无线网络安全的威胁也越来越多，作为工作人员如何发现存在的威胁，并如何做处理时，张先生的书中也作了详细的的回答，主要有以下方面：

(一)私接AP

无线局域网接入点(WLAN AP)是便宜的，容易安装，小巧而容易携带。非法的WLAN AP可以无意地或者在IT管理人员无法察觉的情况下恶意地接入到企业网络。只需要把一个小巧的WLAN AP带到企业内部，然后连接到以太网接口上就行了。

(二)不当设置的AP

WLAN AP支持多种安全特性和设置。许多时候，IT管理人员都会让合法的AP仍旧保持出厂时的默认设置或者没有恰当地对它进行设置，这会使AP在没有加密或在弱加密(如WEP)的条件下工作。也有些时候，一个AP在没有设置任何口令的情况下与客户端连接，于是整个企业网络就都在没有任何口令情况下建立了无线

34

连接。

(三)客户端不当连接

客户端不当连接就是企业内合法用户与外部AP建立连接，也存在不安全因素，这又怎样发生的呢?一些部署在工作区周围的AP可能没有做任何安全控制，企业内的合法用户的Wi-Fi卡就可能与这些外部AP建立连接。一旦这个客户端连接到外部AP，企业内可信赖的网络就置于风险之中，外部不安全的连接通过这个客户端就接入到了用户的网络。因此，要防止在不知情的状况下发生合法用户与外部AP建立连接或内部信息外露的情况。

(四)非法连接

非法连接是指企业外的人员与企业内合法的AP建立连接，这通常发生在无线空间没有安全控制的情况下。如果一个非法用户与合法AP建立连接，就意味着用户的网络向外部开放了，这会导致重要数据和信息外泄。

(五)直连网络

802.11 WLAN标准提供一种在无线客户端间建立点对点无线连接的方式。无线客户端之间可以借此建立一个直连网络(Ad Hoc)。但是，这种直连网络带来了安全漏洞，攻击者可以在网络周边隐藏区内与企业内一个合法的笔记本电脑建立无线连接。比如：如果这台笔记本电脑与其他合法用户共享了某些资源(文件或目录等)，攻击者也可以通过直接连接获得这些资源。

总之，无线网络安全问题对利用无线上网的企业形成的威胁，其严重性决不可小视。非法设备通过AP与企业网络连接会导致数据失窃、数据重路由、数据崩溃、身份模拟、DoS、病毒感染，以及其他类型在企业有线网络中存在的网络安全威胁。其中无线局域网传输作为开放的传输介质很容易被用来发动DoS攻击。例如以下的DoS攻击：authentication, association, de-authentication或disassociation flood, NAV attack, CTS flood, and EAP and EAPOL message floods就可以轻易发动而造成整个企业无线局域网瘫痪。

§5.2无线局域网标准与安全技术

无线局域网既可以是有线局域网的扩展，也可独立作为有线局域网的替代设施。因此，未来的无线局域网，需要具备更高的传输速度，提供更加便捷的组网技术，能够应用于更加复杂的环境信道下，且系统性能高效稳定。

§5.2.1无线局域网标准

无线局域网（WLAN）是20世纪90年代计算机网络与无线通信技术相结合的产物，它使用无线信道来接入网络，为通信的移动化、个人化和多媒体应用提供了潜在的手段，并成为宽带无线接入的有效途径之一。 但长期以来，WLAN的发展一直在由不同厂商进行推动，因此出现了标准百舸争流、百花齐放的局面。各个标准的特点和优势是什么？谁更能在激烈的竞争中占得鳌头？下面将一一进行分析。

一、如火如荼的IEEE802．11系列

35

1999年9月通过的IEEE802．11b工作在2．4－2．483GHz频段。802．11b数据速率为11Mbps。同时IEEE802．11b具有5．5Mbps、2Mbps、1Mbps三个低速档次，当工作站之间距离过长或干扰太大、信噪比低于某个门限时，传输速率能够从11Mbps自动降到5．5Mbps、2Mbps或者1Mbps，通过降低传输速度来改善误码率性能。802．11b使用带有防数据丢失特性的载波检测多址连接（CSMA／CA）作为路径共享协议，物理层调制方式为CCK（补码键控）的DSSS（直接序列扩频）。目前802．11b已经成为WLAN市场上的主流技术，随着技术的成熟和产品的降价，它开始大显身手。

和802．11b相比，IEEE802．11a在整个覆盖范围内提供了更高的速度，其速率高达54Mbps。它工作在5GHz频段，目前该频段用得不多，干扰和信号争用情况较少。802．11a同样采用CSMA／CA协议。但在物理层，802．11a采用了正交频分复用（OFDM）技术。OFDM技术将一个无线信道分解成多个子载波同时传输数据，每个子载波的速率比总速率低许多，也就是每个传输符号的时长要长许多，这有利于克服无线信道的衰落，改善了信号质量，提升了整个网络的速度。一般分析认为，802．11a技术的普及仍需一段时间，但是由于互联网产业飞速发展，用户对宽带业务需求量猛增，802．11b在不少场合（尤其是信道噪声较大的场合）已不能满足用户宽带接入的要求；而802．11a则可凭借更高的速率和更好的质量实现这一需求，因此有望提前取代802．11b，让用户尽情享受宽带的无穷魅力。

IEEE802．11a与802．11b的产品因为频段与调制方式不同而无法互通，这使得已经拥有802．11b产品的消费者可能不会立即购买802．11a产品，阻碍了802．11a的应用步伐。2001年11月15日，IEEE试验性地批准一种新技术802．11g，其使命就是兼顾802．11a和802．11b，为802．11b过渡到802．11a铺路修桥。它既适应传统的802．11b标准，在2．4GHz频率下提供11Mbps的数据速率，也符合802．11a标准，在5GHz频率下提供54Mbps的数据速率。802．11g中规定的调制方式包括802．11a中采用的OFDM与802．11b中采用的CCK。通过规定两种调制方式，既达到了用2．4GHz频段实现IEEE802．11a54Mbps的数据传送速度，也确保了与装机数量超过1100万台的IEEE802．11b产品的兼容。此外，TI公司提案的可达22Mbps数据传送速度的CCK－PBCC与CCK－OFDM调制方式也可以选用。

二、笑傲欧洲的HiperLAN

除了IEEE802．11家族，欧洲电信标准化协会（ETSI）的宽带无线电接入网络（BRAN）也制订出HiperLAN标准作为“宽带无线接入网”计划的组成部分，并在欧洲得到了广泛支持和应用。该系列包含4个标准：HiperLAN1、HiperLAN2、HiperLink和HiperAccess。HiperLAN1、HiperLAN2用于高速WLAN接入；HiperLink用于室内无线主干系统；HiperAccess则用于室外对有线通信设施提供固定接入。

HiperLAN1对应1EEE802．11b，它工作在5．3GHz，采用高斯滤波最小频移键控（GMSK）调制，速率最大23．5Mbps。HiperLAN2工作在5GHz频段，速率高达54Mbps。因为技术上的下列优点，它被一些人士看成目前最先进的WLAN技术：

（一）为了实现54Mbps高速数据传输，物理层采用OFDM调制，MAC子层则采用一种动态时分复用的技术来保证最有效地利用无线资源。

（二）为使系统同步，在数据编码方面采用了数据串行排序和多级前向纠错，每一级都能纠正一定比例的误码。

（三）数据通过移动终端和接入点之间事先建立的信令链接来进行传输，面

36

向链接的特点使得HiperLAN2可以很容易地实现QoS支持。每个链接可以被指定一个特定的QoS，如带宽、时延、误码率等，还可以给每个链接预先指定一个优先级。

（四）自动进行频率分配。接入点监听周围的HiperLAN2无线信道，并自动选择空闲信道。这一功能消除了对频率规划的需求，使系统部署变得相对简便。

（五）为了加强无线接入的安全性，HiperLAN2网络支持鉴权和加密。通过鉴权，使得只有合法的用户可以接入网络，而且只能接入通过鉴权的有效网络。

（六）其协议栈具有很大的灵活性，可以适应多种固定网络类型。它既可以作为交换式以太网的无线接入子网，也可以作为第三代蜂窝网络的接入网，并且这种接入对于网络层以上的用户部分来说是完全透明的。当前在固定网络上的任何应用都可以在HiperLAN2网上运行。相比之下，IEEE802．11的一系列协议都只能由以太网作为支撑，不如HiperLAN2灵活。

三、独树一帜的红外系统

红外局域网系统采用波长小于1微米的红外线作为传输媒体，该频谱在电磁光谱.里仅次于可见光，不受无线电管理部门的限制。红外信号要求视距传输，方向性强，对邻近区域的类似系统也不会产生干扰，并且窃听困难。实际应用中由于红外线具有很高的背景噪声，受日光、环境照明等影响较大，一般要求的发射功率较高。尽管如此，红外无线LAN仍是目前“100Mbps以上、性能价格比高的网络”唯一可行的选择，主要用于设备的点对点通信。

四、互为补充——蓝牙技术

蓝牙是一种使用2．45GHz的无线频带（ISM频带）的通用无线接口技术，提供不同设备间的双向短程通信。蓝牙的目标是最高数据传输速率1Mbps（有效传输速率为721Kbps）、传输距离为10厘米－10米（增加发射功率可达100米）。在一个微微网络中，蓝牙使每台设备同时与多达7台的其它设备进行通信，而且每台设备可以同时属于几个微微网络。蓝牙面向的是移动设备间的小范围连接，因而本质上说它是一种代替线缆的技术。它用来在较短距离内取代目前多种线缆连接方案，并且克服了红外技术的缺陷可穿透墙壁等障碍，通过统一的短距离无线链路，在各种数字设备之间实现灵活、安全、低成本、小功耗的话音和数据通信。相对802．11和Hiper LAN家族，蓝牙的作用不是为了竞争而是相互补充。

五、力不从心的HomeRF

HomeRF是IEEE802．11与DECT的结合，原为家庭网络设计，旨在降低语音数据成本。HomeRF工作在2．4GHz频段，它采用数字跳频扩频技术，速率为50跳／秒，并有75个带宽为1MHz跳频信道。调制方式为2FSK与4FSK。数据的传输速率在2FSK方式下为1Mbps，在4FSK方式下为2Mbps。在新版HomeRF2．x中，采用了WBFH（widebandfrequen cyhopping）技术把跳频带宽增加到了3MHz和5MHz，跳频速率也增加到75跳／秒，数据传输速率达到了10Mbps。尽管如此，在速率更快、技术更先进的802．11和HiperLAN的夹攻下，HomeRF已不被看好。

§5.2.2无线局域网安全技术

有线网络和无线网络有着不同的传输方式。有线网络的访问控制往往以物理

37

端口接入方式进行监控，数据通过双绞线、光纤等介质传输到特定的目的地，有线网络辐射到空气中的电磁信号强度很小，很难被窃听，一般情况下，只有在物理链路遭到盗用后数据才有可能泄漏。而无线网络的数据传输是利用电磁波在空气中辐射传播，只要在接入点(AP，Access Point)覆盖的范围内，所有的无线终端都可以接收到无线信号。无线网络的这种电磁辐射的传输方式是无线网络安全保密问题尤为突出的主要原因。

通常网络的安全性主要体现在两个方面：一是访问控制，它用于保证敏感数据只能由授权用户进行访问；另一个是数据加密，它用于保证传送的数据只被所期望的用户所接收和理解。无线局域网相对于有线局域网所增加的安全问题主要是由于其采用了电磁波作为载体来传输数据信号，其他方面的安全问题两者是相同的。

§5.2.3 WLAN的访问控制技术

一、服务集标识SSID(Service Set Identifier)匹配

通过对多个无线AP设置不同的SSID标识字符串(最多32个字符)，并要求无线工作站出示正确的SSID才能访问AP，这样就可以允许不同群组的用户接入，并对资源访问的权限进行区别限制。但是SSID只是一个简单的字符串，所有使用该无线网络的人都知道该SSID，很容易泄漏；而且如果配置AP向外广播其SSID，那么安全程度还将下降，因为任何人都可以通过工具或Windows XP自带的无线网卡扫描功能就可以得到当前区域内广播的SSID。所以，使用SSID只能提供较低级别的安全防护。

二、物理地址(MAC，Media Access Control)过滤

MAC(Media Access Control ，介质访问控制)地址是网卡的物理地址，是识别局域网中计算机的身份标识。无论是有线网卡还是无线网卡，其在全世界的MAC地址是唯一的，类似于人的身份证号码。如图7.1所示，在MSDOS方式下查看网卡的MAC地址。

由于每个无线工作站的网卡都有唯一的类似于以太网的48位的物理地址，因此可以在AP中手工维护一组允许访问的MAC地址列表，实现基于物理地址的过滤。如果各级组织中的AP数量很多，为了实现整个各级组织所有AP的无线网卡MAC地址统一认证，现在有的AP产品支持无线网卡MAC地址的集中RADIUS认证。

38

图7.1查看网卡MAC地址

物理地址过滤的方法要求AP中的MAC地址列表必须及时更新，因此此方法维护不便、可扩展性差；而且MAC地址还可以通过工具软件或修改注册表伪造，因此这也是较低级别的访问控制方法。

三、端口访问控制技术(IEEE 802.1x)和可扩展认证协议(EAP)

由于以上两种访问控制技术的可靠性、灵活性、可扩展性都不是很好，802.1x协议应运而生，802.1x定义了基于端口的网络接入控制协议(Port Based Network Access Control)，其主要目是为了解决无线局域网用户的接入认证问题，802.1x架构的优点是集中式、可扩展，双向用户验证。有线局域网通过固定线路连接组建，计算机终端通过网线接入固定位置物理端口，实现局域网接入，这些固定位置的物理端口构成有线局域网的封闭物理空间。但是，由于无线局域网的网络空间具有开放性和终端可移动性，所以很难通过网络物理空间来界定终端是否属于该网络，因此，如何通过端口认证来防止非法的移动终端接入本单位的无线网络就成为一项非常现实的问题。

IEEE 802.1x提供了一个可靠的用户认证和密钥分发的框架，可以控制用户只有在认证通过以后才能连接到网络。但IEEE 802.1x本身并不提供实际的认证机制，需要和扩展认证协议EAP(Extensible Authentication Protocol)配合来实现用户认证和密钥分发。EAP允许无线终端使用不同的认证类型，与后台的认证服务器进行通讯，如远程认证拨号用户服务器(RADIUS)交互。EAP的类型有EAP-TLS、EAP-TTLS、EAP-MD5、PEAP等类型，EAP-TLS是现在普遍使用的，因为它是唯一被IETF(因特网工程任务组)接受的类型。当无线工作站与无线AP关联后，是否可以使用AP的受控端口要取决于802.1x的认证结果，如果通过非受控端口发送的认

39

证请求通过了验证，则AP为无线工作站打开受控端口，否则一直关闭受控端口，用户将不能上网。认证过程如图7.1所示。

四、WLAN的数据加密技术

（一）WEP(Wired Equivalent Privacy)有线等效保密

为了保证数据能安全地通过无线网络传输而制定的一个加密标准，使用了共享秘钥RC4加密算法，只有在用户的加密密钥与AP的密钥相同时才能获准存取网络的资源，从而防止非授权用户的监听以及非法用户的访问。密钥长度最初为40位(5个字符)，后来增加到128位(13个字符)，有些设备可以支持152位加密。

WEP标准在保护网络安全方面存在固有缺陷，例如一个服务区内的所有用户都共享同一个密钥，一个用户丢失或者泄漏密钥将使整个网络不安全。另外，WEP加密有自身的安全缺陷，有许多公开可用的工具能够从互联网上免费下载，用于入侵不安全网络。而且黑客有可能发现网络传输，然后利用这些工具来破解密钥，截取网络上的数据包，或非法访问网络。

(二) WPA保护访问(Wi-Fi Protected Access)技术

WEP存在的缺陷不能满足市场的需要，而最新的IEEE 802.11i安全标准的批准被不断推迟，Wi-Fi联盟适时推出了WPA技术，作为临时代替WEP的无线安全标准协议，为IEEE 802.11无线局域网提供较强大的安全性能。WPA实际上是IEEE 802.11i的一个子集，其核心就是IEEE 802.1x和TKIP。

新一代的加密技术TKIP，与WEP一样基于RC4加密算法，但对现有的WEP进行了改进，使用了动态会话密钥。TKIP引入了48位初始化向量(IV)和IV顺序规则(IV Sequencing Rules)、每包密钥构建(Per-Packet Key Construction)、Michael消息完整性代码(Message Integrity Code，MIC)以及密钥重获/分发4个新算法，极大提高了无线网络数据加密安全强度。

WPA之所以比WEP更可靠，就是因为它改进了WEP的加密算法。由于WEP密钥分配是静态的，黑客可以通过拦截和分析加密的数据，在很短的时间内就能破解密钥。而在使用WPA时，系统频繁地更新主密钥，确保每一个用户的数据分组使用不同的密钥加密，即使截获很多的数据，破解起来也非常地困难。

(三) WLAN验证与安全标准—IEEE 802.11i

为了进一步加强无线网络的安全性和保证不同厂家之间无线安全技术的兼容，IEEE802.11工作组于2004年6月正式批准了IEEE 802.11i安全标准，从长远角度考虑解决IEEE 802.11无线局域网的安全问题。IEEE 802.11i标准主要包含的加密技术是TKIP(Temporal Key ntegrity Protocol)和AES(Advanced Encryption Standard)，以及认证协议IEEE 802.1x。定义了强壮安全网络RSN(Robust Security Network)的概念，并且针对WEP加密机制的各种缺陷做了多方面的改进。

IEEE 802.11i规范了802.1x认证和密钥管理方式，在数据加密方面，定义了TKIP(Tem-poral Key Integrity Protocol)、CCMP(Counter-Mode/CBC2 MAC Protocol)和WRAP(Wireless Ro2bust Authenticated Protocol)三种加密机制。其中TKIP可以通过在现有的设备上升级固件和驱动程序的方法实现，达到提高WLAN安全的目的。CCMP机制基于AES(Advanced Encryption Standard)加密算法和CCM(Counter2Mode/CBC2MAC)认证方式，使得WLAN的安全程度大大提高，是实现RSN的强制性要求。AES是一种对称的块加密技术，有128/192/256位不同加密位数，提供比WEP/TKIP中RC4算法更高的加密性能，但由于AES对硬件要求比较高，因此

40

CCMP无法通过在现有设备的基础上进行升级实现。

（四）WLAN的其它数据加密技术——虚拟专用网络(VPN)

虚拟专用网络(VPN)是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全。它不属于802.11标准定义，是以另外一种强大的加密方法来保证传输安全的技术，可以和其它的无线安全技术一起使用。VPN协议包括二层的PPTP/L2TP协议和三层的IPSec协议，IPSec用于保护IP数据包或上层数据，IPSec采用诸如数据加密标准(DES)和168位三重数据加密标准(3DES)以及其它数据包鉴权算法来进行数据加密，并使用数字证书来验证公钥，VPN在客户端与各级组织之间架起一条动态加密的隧道，并支持用户身份验证，实现高级别的安全。VPN支持中央安全管理，不足之处是需要在客户机中进行数据的加密和解密，增加了系统的负担，另外要求在AP后面配备VPN集中器，从而提高了成本。无线局域网的数据用VPN技术加密后再用无线加密技术加密，就好像双重门锁，提高了可靠性。

§5.3无线网络设备安全

无线网络中的各种设备，在通常情况下，可以采用WEP加密和802.11认证方式进行安全认证和数据的加密传输，无线AP还可设MAC地址过滤等。

§5.3.1无线网络设备

目前，常用的无线网络产品，比较有名的有朗讯（Lucent）、Tp-LINK、3COM、Cisco、Apple、Netgear、 Asus、 D-link 、阿尔法、netcore、 buffalo、 Linksys、SMC、金浪、腾达等公司产品。

一、无线网卡

无线网卡是终端无线网络的设备，是无线局域网的无线覆盖下通过无线连接网络进行上网使用的无线终端设备。具体来说，无线网卡就是使用用户的电脑可以利用无线来上网的一个装置，但是有了无线网卡也还需要一个可以连接的无线网络，如果用户所在地已有无线路由器或者无线AP覆盖，就可以通过无线网卡以无线的方式连接无线网络上网。

台式机专用的PCI接口无线网卡，笔记本电脑专用的PCMICA接口网卡；USB无线网卡，这种网卡不管是台式机用户还是笔记本电脑用户，只要安装了驱动程序，都可以使用。

二、无线接入点

AP（Access Point,无线接入点）是一个包含很广的名称，它不仅包含单纯性无线接入点（无线AP）,也同样是无线路由器（含无线网关、无线网桥）等类设备的统称。它主要是提供无线工作站对有线局域网和有线局域网对无线工作站的访问，在访问接入点覆盖范围内的无线工作站可以通过它进行相互通信3COM无线接入点。

单纯性无线AP就是一个无线交换机，仅仅提供一个无线信号发射的功能。单纯性无线AP的工作原理是将网络信号通过双绞线传送过来，经过AP产品的编译，将电信号

41

转换成无线电信号发送出去，形成无线网的覆盖。根据不同的功率，其可以实现不同程度、不同范围的网络覆盖，一般无线AP的最大覆盖距离可达300m。

多数单纯性无线AP本身不具备路由功能，包括DNS、DHCP、Firewall在内的服务器功能都必须有独立的路由或计算机来完成。目前大多数的无线AP都支持多用户

（30~100台电脑）接入、数据加密、多速率发送等功能，在家庭、办公室内，一个无线AP便可实现所有电脑的无线接入。

单纯性无线AP亦可对装有无线网卡的电脑做必要的控制和管理。单纯性无线AP既可以通过10BASE-T（WAN）端口与内置路由功能的ADSL MODEM或Cable Modem(CM)直接相连，也可以在使用时通过交换机/集线器、宽度路由器再接入有线网络。

无线AP跟无线路由器类似，按照协议标准本身来说，IEEE802.11b和IEEE802.11g的覆盖范围是室内100m、室外300m。这个数值仅是理论值，在实际应用中，会碰到各种障碍物，其中以玻璃、木板、石膏墙对无线信号的影响最小，而混凝土墙壁和铁对无线信号的屏蔽最大。所以通常实际使用范围是：室内30 m、室外100m(没有障碍物)。

三、无线路由器

无线路由器是带有无线覆盖功能的路由器，它主要应用于用户上网和无线覆盖。市场上流行的无线路由器一般都支持专线xdsl/ cable，动态xdsl，pptp四种接入方式，它还具有其它一些网络管理的功能，如dhcp服务、nat防火墙、mac地址过滤等等功能。

无线路由器（Wireless Router）好比将单纯性无线AP和宽带路由器合二为一的扩展型产品，它不仅具备单纯性无线AP所有功能如支持DHCP客户端、支持VPN、防火墙、支持WEP加密等等，而且还包括了网络地址转换（NAT）功能，可支持局域网用户的网络连接共享。可实现家庭无线网络中的Internet连接共享，实现ADSL和小区宽带的无线共享接入。

§5.3.2无线网络设备的安全设置

无线网络设备的安全性主要在无线接入点和无线路由器两个设备上，下面简单介绍它们的安全设置方法。

一、无线接入点的安全 （一）修改AP登录密码 如AP 5131投入使用后，一般都是悬挂在空中，需要修改登录密码时，再通过串口线进行恢复，已不够方便了。下面提供通过网线直接修改密码的方式：

1．开始》运行》cmd。

2，telnet 192.168.0.100 (AP所分配的IP)。

3．输入原有的登录口令 login ：admin, pass：123 （旧密码）。

4．进入admin》 输入passwd ，在随后的提示下：输入新密码, 再次输入新密码。 5．修改成功！

（二）修改SSID标识

通常每个无线网络都有一个服务区标识符（SSID），无线客户端需要加入该网络的时候需要有一个相同的SSID，否则将被“拒之门外”。通常路由器/中继器设备制造商都在他们的产品中设了一个默认的相同的SSID。例如linksys设备的SSID通常是“linksys”。如果一个网络，不为其指定一个SSID或者只使用默认SSID的话，那么任

42

何无线客户端都可以进入该网络。无疑这为黑客的入侵网络打开了方便之门。

（三）禁止SSID广播 SSID简单的来讲，就是你为你的无线网络所起的名字，不过由于同一厂商的产品出厂时的SSID都是一样的，这样就给一些非法的个人机会，通过初始的字符串来连接无线网络，这样你的无线网络就收到了非法的入侵，安全系数大大降低。所以关闭SSID广播功能，还是很必要的。

另外，关闭SSID广播不会影响使用，只是在其他人的搜索信号菜单中会没有显示你的SSID明。由于无法在信号搜索菜单中找到，所以可以有效避免非法用户入侵。

（四）设置MAC过滤

启用了无线路由器的IP地址过滤功能后，只有IP地址在列表中的用户才能正常访问无线网络，其它的不在列表中的就无法连入网络了。但是要注意一点，在“过滤规则”中一定要选择“仅允许已设MAC地址列表中已生效的MAC地址访问无线网络”选项，要不无线路由器就会阻止所有用户连入网络。

另外，如果在无线局域网中禁用了DHCP功能，那么建议你为每台使用无线服务的电脑都设置一个固定的IP地址，然后将这些IP地址都输入IP地址允许列表中。这样就可以有效的保护无线网络的安全了。

（五）设置WEP加密传输 WLAN技术出现之后，“安全”就成为始终伴随在“无线”这个词身边的影子，针对无线网络技术中涉及的安全认证加密协议的攻击和破解就层出不穷。目前，因特网上可能有数以百计，甚至以千计的文章介绍关于怎么攻击和破解WEP，但有多少人能够真正地成功攻破WEP的加密算法呢?下面来给大家介绍一些关于WEP加密手段的知识，及时是菜鸟只要你按照步骤操作也可成功破解WEP密钥的方法。当然最终的目的还是为了让用户做好安全设置对破解更好的进行防范。

1．WEP：无线网络安全最初的保护者。

相对于有线网络来说，通过无线局域网发送和接收数据更容易被窃听。设计一个完善的无线局域网系统，加密和认证是需要考虑的两个必不可少的安全因素。无线局域网中应用加密和认证技术的最根本目的就是使无线业务能够达到和有线业务同样的安全等级。针对这个目标，IEEE802.11标准中采用了WEP(Wired Equivalent Privacy:有线对等保密)协议来设置专门的安全机制，进行业务流的加密和节点的认证。他主要用于无线局域网中链路层信息数据的保密。WEP采用对称加密机理，数据的加密和解密采用相同的密钥和加密算法。WEP 使用加密密钥(也称为 WEP 密钥)加密 802.11 网络上交换的每个数据包的数据部分。启用加密后，两个 802.11 设备要进行通信，必须具有相同的加密密钥，并且均设置为使用加密。如果设置一个设备使用加密而另一个设备没有，则即使两个设备具有相同的加密密钥也无法通信。(如图7.2所示)

43

图7.2WEP加密过程

WEP支持 64 位和128 位加密，对于 64 位加密，加密密钥为 10 个十六进制字符(0-9 和 A-F)或 5 个 ASCII 字符;对于 128 位加密，加密密钥为 26 个十六进制字符或 13 个 ASCII 字符。64 位加密有时称为 40 位加密;128 位加密有时称为 104 位加密。152 位加密不是标准 WEP 技术，没有受到客户端设备的广泛支持。WEP依赖通信双方共享的密钥来保护所传的加密数据帧。其数据的加密过程如下。

（1）计算校验和(Check Summing)。 1)对输入数据进行完整性校验和计算。

2)把输入数据和计算得到的校验和组合起来得到新的加密数据，也称之为明文，明文作为下一步加密过程的输入。

（2）加密。 在这个过程中，将第一步得到的数据明文采用算法加密。对明文的加密有两层含义:明文数据的加密，保护未经认证的数据。

1)将24位的初始化向量和40位的密钥连接进行校验和计算，得到64位的数据。 2)将这个64位的数据输入到虚拟随机数产生器中，他对初始化向量和密钥的校验和计算值进行加密计算。

3)经过校验和计算的明文和虚拟随机数产生器的输出密钥流进行按位异或运算得到加密后的信息，即密文。

（3）传输。

将初始化向量和密文串接起来，得到要传输的加密数据帧，在无线链路上传输。(如图7.3所示)

图7.3:WEP加密过程

（4）WEP解密过程

在安全机制中，加密数据帧的解密过程只是加密过程的简单取反。解密过程如下。 1）恢复初始明文。

重新产生密钥流，将其和接收到的密文信息进行异或运算，以恢复初始明文信息。 2）检验校验和。

接收方根据恢复的明文信息来检验校验和，将恢复的明文信息分离，重新计算校验和并检查他是否和接收到的校验和相匹配。这样能确保只有正确校验和的数据帧才会被接收方接受。如图7.4所示。

44

图7.4WEP解密过程

（5）破解WEP密钥前的准备工作 在以下的两部分内容内，笔者将逐步地向大家介绍关于怎样来破解WEP的密钥的方法。这种方法并不必什么特别的硬件设备，仅仅只需两台(只有一台也可)带有无线网卡的笔记本而已，整个攻击过程所使用的也只是一些共享和免费软件，并不需什么相当专业的工具。看懂这篇文章和学会操作的读者，并不必你是一名网络专家，不过要基本上熟悉一些网络术语和基本的原理。最少，你应该知道怎样去ping 另外一台机器以测试网络是否畅通，并会打开一个视窗系统的命令提示符窗口，知道输入相关命令和了解关于视窗系统网络属性窗口的相关内容。这就是基本的需求，要不然怎么可称之为菜鸟都可学会的方法呢。

1）组建实验环境

开始之前，本文作者的第一步就是要组建一个实验环境，你不可能拿别人的网络来玩你的破解吧，这样做既违反了法律也是一种不道德的行为噢。搭建一个实验环境下的无线网络平台，则无线AP是少不了的，另外，三台带有无线网卡的笔记本(使用有无线网卡的台式机也能)组成的简单网络就可满足需求了。组成的网络拓扑如下图7.5所示。

45

图7.5组建一个实验环境

在图7.5所示的网络中，无线AP的选用，本文作者使用的是个Netgear的产品，型号为WGT624v2，他在以后充当被攻击目标的角色，在以后就称他为目标AP。在所使用的三台机器中，一台是作为被攻击目标的客户端机器，暂且称之为“Target”;另外两台笔记本一台执行主动攻击，促使网络流量的产生，以便足够多的数据包有比较短的时间内能够被捕捉到，称这台机器为“Attack”;剩下的那台笔记本就是用来嗅探并捕捉那些主动攻击产生的数据包了，则把他称为“Sniff”。当然，尽管整个的破解过程能在一台笔记本上完成，但笔者并不推荐这种做法，用仅仅一台笔记本，会使以后的工作变得非常麻烦，并且发现使用这种方法的话窃听程式可能会发生一点小问题。在一个使用率不高的WLAN中，使用主动攻击比被动探测的机会更大，他可在较短的时间内使WLAN产生更多的数据包从而加快破解WEP的速度。

在这个实验环境中一定非得要使用笔记本不可，本文作者当然也能够使用桌面PC或桌面PC和笔记本混用，不过使用笔记本的话他的便携性更好，而且对目前的无线PC Card卡有更好的兼容性。

Target所使用的无线网卡和芯片无关，只要是基于802.11b，任意厂家的产品都可满足需求。而Attack和Sniff两台机器是使用的两块基于PRISM芯片的802.11b的无线网卡。尽管在以后的操作中中使用的非常多工具(如Kismet)都可支持相当多种类的无线网卡，但笔者还是建议使用基于PRISM 2芯片的网卡，因为这种芯片能够被本文作者在破解过程所要使用到的所有工具都支持。

无线网卡一般有外置天线和内置天线两种，如果所购买的无线网卡并没有内置天线的话，还必须自己再另购天线。不过外置天线的好处就是增益更高，灵敏度更好，能调节天线的方向从而得到更好的信号接收;而内置天线是能更方便地携带，缺点是天线方向无法调节。笔者看到有一种移动式外置天线，使用起来是非常方便的，在这种移动式

46

天线的底部有几个橡胶材料的小吸杯，能把他方便地吸附在笔记本的顶盖上，如果是在车内使用的话，还可把他牢牢地吸在车空窗玻璃上呢。如下图7.6所示。

图7.6移动式天线

2）实验WLAN的设置

适当地对这个实验环境进行一下设置是非常重要的，因为毕竟只想要在这个用来实验的环境中来完成所有的操作，在下文中描述的攻击过程中，将会强制终止一个和AP有连接的客户端。这种攻击可能会对在这个邻近区域内的无线用户造成严重损害，为了避免邻近的AP上的用户受到附带的攻击， 是要保护那些并不属于实验WLAN的用户。如果这个操作环境中位于一个复杂的办公室、办公大楼或其他有许多无线网络覆盖的区域中的话，要尝试一下这样的破解操作，最佳等到晚上没什么人工作，网络不再繁忙时进行，免得“城门失火，殃及池鱼”。

第一步就是连接和设置这个被攻击的实验无线局域网，如前面所述，这个WLAN包含有一个Access Point(无线路由器)和仅仅一个无线客户端，且这个无线局域网被想要破解的WEP密钥保护起来了。把目标AP的SSID(System Set ID)设置为“starbucks”，SSID用来区分不同的网络，也称为网络名称。无线工作站必须出示正确的SSID，和无线访问点AP的SSID相同，才能访问AP;如果出示的SSID和AP的SSID不同，那么AP将拒绝他通过本服务区上网。能认为SSID是个简单的口令，从而提供口令机制，实现一定的安全性。并在这个WAP上设置一个64位的WEP密钥来进行保护。

把下面的信息记录下来以便以后使用

①AP的MAC地址。他通常会在AP的WEB设置菜单上显示出来， AP的底部或侧面的标签上也可能记有本机的MAC地址。

②AP的无线频道(Channel)。

47

③WEP 密钥。如果无线AP显示的密钥像0xFFFFFFFFFF这样的格式(把设定的值替代F的值)，把除0x外的每个字母都记下来。

第二步就是把Target客户端连接到目标AP上。现在需要把这个客户端连接到目标AP以进行进一步的配置，(以下都是在Windows XP下进行的)，右键单击桌面上的“网上邻居”图标，或者通过“开始”菜单，然后单击“属性”，双击“Wireless Network Connection”，然后打开如图7.6所示的窗口，其中显示的是有多个可用的无线网络，但假如只有一个无线网络的话，则在该窗口中可能只仅仅显示刚刚配置的那个名为“starbucks”的AP，双击相应的SSID名称以连接到目标AP。

因为AP已开启了WEP保护，连接时Windows会要求输入一个密码(如图7.7所示)，把刚才设置的的WEP密钥输入(当然从记事本或写字板文档中粘贴过来也可)，稍等一会儿后Windows就会报告已连接到网络上。确认一下是否已真正地连接成功，去ping一个在有线网络计算机来测试一下;或者假如这个实验WLAN已接连到因特网上，随便打开一个WEB站点看是否能够连接来加以确认。假如不能成功地ping通已知地址的机器或者打不开正常的WEB站点，则打开无线网卡的属性，单击“支持”按钮，检查一下无线网上是否已获取了一个正确的IP地址，假如没有能够获取正确的IP地址，看看网络中的DHCP服务器是否已启用，并检查无线网卡的TCP/IP属性是否设置成“自动获取IP地址”了，假如一切都正常，在这个无线连接中点击 “修复”按钮来加以改正。

图7.7输入WEP密钥

第三步就是记录下Target机器的MAC地址。一旦成功连接到网络上，就把被攻击的Target计算机的MAC地址记录下来。方法有两种，一是打开一个命令提示符窗口并

48

输入ipconfig/all命令也可看到这个MAC地址，这个窗口的内容如下图七所示(无线网卡的MAC地址信息已高亮度显示)。图7.1输入ipconfig/all命令来发现MAC地址。二是在Windows XP中，可从“无线连接状态”窗口来得到这个MAC地址，单击“支持”按钮，然后单击“具体信息”，这个MAC地址就显示在窗口顶端的右边(如图7.8所示)，当然，不同的机器显示的名称可能不尽相同，另外的计算机显示的就可能如“物理地址”这一类的描述信息了。在这个窗口的信息，组成MAC地址的字母和数字被短划线分隔，短划线的目的只是使这些字符看得更清楚，但实际的MAC地址是没有这些短划线的。

图7.8在网络连接具体信息中显示的MAC地址

（六）禁用DHCP服务

DHCP的功能是为局域网内的电脑自动分配IP地址，这样就免去了用户自己手动设置IP地址、子网掩码以及其他所需要的TCP/IP参数。不过由于DHCP功能是开启的，也就是任何在信号覆盖范围的电脑都可以获取IP地址，非法连入用户的无线网络里，这就给无线网络带来了安全隐患。所以，禁用DHCP功能也是一种较为有效的安全防护措施。

（七）合适安置无线AP和天线

由于无线AP是有线信号和无线信号的转换“枢纽”，无线AP中的天线位置，不但能够决定无线局域网的信号传输速度、通信信号强弱，而且还能影响无线网络的通信安全。因此，将无线AP摆放在一个合适的位置是非常有必要的。另外，在放置天线之前，一定要先搞清楚无线信号的覆盖范围有多大。然后，依据范围大小，将天线放置到其他用户无法“触及”的位置处。

例如，最好将无线网络节点放置在该空间的正中央，同时将其他工作站分散在无线网络节点的四周放置，使其他房间的工作站无法自动搜索到无线网络，也就不容易出现信号泄密的危险。倘若随便将无线网络节点放置在靠窗口或墙壁的位置处，不但会影响信号的对外发射，而且位于墙壁另一边的工作站用户，就能很轻易地搜索并连接，网络安全性就会大大降低。

二、无线路由器的安全

无线路由器除了拥有无线AP的功能外，还集成了宽带路由器的功能，因此可以实

49

现小型网络的互联网连接共享。当然，由于无线路由器位于网络的边缘，承受着更多的安全威胁，因此，除了可以采用无线AP的安全策略外，还可以采用更多其他的安全策略。

（一）IP地址过滤

使用IP地址过滤列表，可以过滤特定的IP地址，只允许指定的无线客户端转发数据或接入无线网络，从而进一步提高无线网络的安全性。

（二）启用网络防火墙

许多无线路由器都内置了功能较为丰富的网络防火墙。只需简单并设置该防火墙，即可阻止一些常见的网络攻击，从而确保网内用户的安全。

§5.5 3COM公司无线网络安全解决方案

3Com公司提供全套的无线局域网络产品，包括天线、无线网卡，无线工作组网桥、无线访问点AP2000、无线访问点AP6000、无线访问点AP8000以及大楼到大楼无线网桥等。3Com无线访问点AP6000如图7.9所示。

图7.9 3COM无线访问点AP5000

3Com公司的无线产品除了支持基本安全解决方案：服务区标识符匹配、物理地址过滤、WEP以及WEP 2之外，还具有其他的扩展安全解决方案，从而满足不同层次的安全需求，为无线局域网提供全面安全解决方案。这些安全解决方案包括：动态安全链路(DSL)技术、虚拟专用网络(VPN)技术以及端口访问控制(802.1x)技术。

一、动态安全链路(DSL)技术

3Com公司对WEP加以扩展，提供目前无线局域网络市场上最高级别的第二层安全。动态安全链路技术采用128位钥匙，但与WEP 2截然不同的是，动态安全链路技术采用的钥匙是动态分配的，针对每一个会话(session)都自动生成一把钥匙，并且即使在同一个会话期间，对于每256个数据包，钥匙将自动改变一次。而WEP 2采用的钥匙是手工输入和维护的。

采用动态安全链路技术时，要求无线访问点AP中维护一个用户访问列表，而在用户端请求访问网络时进行用户名/口令的认证，只有认证通过之后才能连通。无线访问点AP6000的用户访问列表支持最多256个用户，允许128个用户同时访问;无线访问点AP8000的用户访问列表支持最多1000个用户，允许256个用户同时访问。

动态安全链路技术支持本地用户认证，适用于没有Radius服务器但又希望提供用户认证的环境。

二、虚拟专用网络(VPN)技术

50

虚拟专用网是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性，目前许多企业及运营商已经采用VPN技术。只要具有IP的连通性，就可以建立VPN。

VPN技术不属于802.11标准定义，因此它是一种增强性的网络解决方案。严格来讲，VPN可以替代连线对等保密解决方案以及物理地址过滤解决方案，也可以与WEP协议互补使用。

VPN协议包括第二层的PPTP/L2TP协议以及第三层的IPSEC协议。3Com公司在无线局域网VPN解决方案中支持IPSEC协议。实际上，VPN只涉及发起端、终结端，因此对无线访问点AP来讲是透明的，并不需要在无线访问点支持VPN。3Com公司可以提供无线工作站的IPSEC客户端软件，而采用SuperStack 3防火墙作为VPN的终结端。

IPSEC是标准的第三层安全协议，用于保护IP数据包或上层数据，它可以定义哪些数据流需要保护，怎样保护以及应该将这些受保护的数据流转发给谁。由于它工作在网络层，因此可以用于两台主机之间、网络安全网关之间或主机与网关之间。在无线局域网环境下，主要采用客户端到网关的组网方式。

3Com IPSEC VPN可以提供目前最高级别的168位3DES加密算法，其安全程度明显好于WEP协议。

3Com公司IPSEC VPN技术的另外一个优点是可以提供基于Radius的用户认证以及计费。VPN安全技术适合于具有中心Radius服务器，又需要提供安全认证和计费的网络环境，比如大中型企业网络或公共无线访问网络。3Com公司的所有无线组网方式都支持VPN。

三、端口访问控制技术(802.1x)

802.1x协议是由IEEE定义的，用于以太网和无线局域网中的端口访问与控制。该协议定义了认证和授权，可以用于局域网，也可以用于城域网。

802.1x引入了PPP协议定义的扩展认证协议EAP。传统的PPP协议都采用PAP/CHAP或Microsoft的MS-CHAP认证方式，它们都是基于用户名/口令或

Challenge/Response(对口令加密)方式，而作为扩展认证协议，EAP可以采用更多的认证机制，比如MD5、一次性口令、智能卡、公共密钥等，从而提供更高级别的安全。

实际上802.1x是运行在无线网设备关联之后，其认证层次包括两方面：客户端到802.1x认证端和认证端到认证服务器。802.1x定义客户端到认证端采用EAP over LAN协议和认证端到认证服务器采用EAP over Radius协议。

802.1x要求无线工作站安装802.1x客户端软件，无线访问点要内嵌802.1x认证代理，同时它还作为Radius客户端，将用户的认证信息转发给Radius服务器。

为了让所有的操作系统都能享受到网络注册的好处和安全，3Com公司将为所有的操作系统提供无线客户端802.1x软件。

3Com公司的无线访问点AP8000支持802.1x标准并提供3种上层认证方式，包括EAP-MD5、EAP-TLS以及3Com Serial Authentication。

四、EAP-MD5

该功能通过Radius服务器提供简单的集中用户认证。在这种方式下，Radius服务器不需要证书或者安装在无线工作站中的其他安全信息。用户注册时，Radius服务器只是检查用户名和口令，如果匹配，就通知无线访问允许该客户端访问网络服务。

EAP-MD5只提供认证，因此为安全起见，应该与标准的802.11安全协议WEP/WEP 2组合使用，采用40位/128位共享密钥实现加密。

EAP-MD5是一种单向认证机制，只能保证客户端到服务器的认证，并不保证服务器

51

到客户端的认证。

五、EAP-TLS

EAP-TLS既提供认证，又提供动态会话钥匙分发。EAP-TLS认证机制是在无线客户端和服务器之间提供互相认证。所有的无线客户端以及服务器都需要事先申请一个标准的X.509证书并安装，在认证时客户端和服务器要相互交换证书。在交换证书的同时，客户端和服务器要协商出一个基于会话的钥匙，一旦认证通过，服务器将会话钥匙传给客户端并通知无线访问允许该客户端使用网络服务。

目前，只有Windows XP支持EAP-TLS。 六、3COM Serial Authentication

Serial Authentication是3COM公司专有的上层认证机制，该机制采用两个过程：EAP-TLS和EAP-MD5。

无线客户端和Radius EAP-TLS服务器相互认证，由于采用通用证书（3COM公司提供），所以在这个阶段，所有的安装该证书的客户端都可以通过认证。这个过程的主要目的是为了在每个客户端和服务器之间建立基于会话的动态钥匙，以便保护随后的数据。

Radius EAP-MD5服务器对客户端进行用户认证，一旦认证通过，服务器就通知无线访问该点允许客户端访问网络服务。

3COM Serial Authentication 还支持动态钥匙更新功能，也就是说，认证通过以后，无线访问点和客户端将定期更新用于加密的钥匙，从而扩展网络的安全性。

3COM公司扩展802.1X标准的3种安全机制：EAP-MD5,EAP-TLS以及Serial

Authentication可以很好地满足具有中心Radius服务器的大型企业或运营商需求。

52

致 谢

二年的自学考试生活在这个季节即将划上一个句号，而于我的人生却只是一个逗号，我将面对又一次征程的开始。多年的求学生涯在师长、亲友的大力支持下，走得辛苦却也收获满囊，在论文即将付梓之际，思绪万千，心情久久不能平静。 伟人、名人为本文作者所崇拜，可是我更急切地要把我的敬意和赞美献给一位平凡的人，我的导师。我不是您最出色的学生，而您却是我最尊敬的老师。您治学严谨，学识渊博，思想深邃，视野雄阔，为我营造了一种良好的精神氛围。授人以鱼不如授人以渔，置身其间，耳濡目染，潜移默化，使我不仅接受了全新的思想观念，树立了宏伟的学术目标，领会了基本的思考方式，从论文题目的选定到论文写作的指导,经由您悉心的点拨,再经思考后的领悟，常常让我有“山重水复疑无路,柳暗花明又一村”。

感谢我的爸爸妈妈，养育之恩，无以回报，你们永远健康快乐是我最大的心愿。在论文即将完成之际，我的心情无法平静，从开始进入课题到论文的顺利完成，有多少可敬的师长、同学、朋友给了我无言的帮助，在这里请接受我诚挚谢意！

同时也感谢学院为我提供良好的做毕业设计的环境。

最后再一次感谢所有在毕业设计中曾经帮助过我的良师益友和同学，以及在设计中被我引用或参考的论作的作者。

53

参考文献

【1】 张敏波.网络安全实战详解.电子工业出版社.2008年5月 【2】 肖遥.网络渗透攻击与安防修炼.电子工业出版社.2009年4月 【3】 李匀.网络渗透厕所.电子工业出版社.2007年12月 【4】 施威铭研究室.网络概论.中国铁道出版社.2007年6月

54